雖然目前還沒有一套簡單自動的檢測方案能夠確切診斷感染狀況的存在，但我們可以從以下幾種典型癥狀入手：系統運行速度比正常情況慢;硬盤驅動器LED燈在空閑模式下仍然不停閃爍;文件與文件夾突然消失，或者以某種方式發生改變;朋友或同事提醒用戶稱他們收到了由其發送的垃圾郵件;計算機上的防火墻通知用戶有程序正在試圖訪問互聯網;某個從互聯網上下載的程序突然出現運行圖標消失現象，彈出的報錯信息明顯多于以往;網上銀行突然要求用戶提供此前從未索取過的個人信息。

了解僵尸網絡的運作機制是成功幫助系統抵御僵尸網絡攻擊的良好開端。除了學習之外，用戶在防護方面需要做好的另一件要事，是要保證自己使用的所有軟件都來自合法及可信來源，而且需要進一步為所有應用程序安裝最新安全補丁。在瀏覽網絡內容時使用過時的互聯網瀏覽器，或者使用AdobeFlash或甲骨文Java等未及時更新的插件，相當于自己提升了安全風險。許多企業都提供了足以在功能豐富程度上與著名殺毒廠商看齊的免費版本。因此在設備中安裝殺毒軟件套件，且保持更新是必須的，同時還要養成定期進行全盤系統掃描的良好習慣，堅持使用一套殺毒軟件。而同時使用多種殺毒方案可能會給系統造成意外損害，要使用個人防火墻程序并利用警報機制在程序試圖連接互聯網時向我們發出提示。

為了防止數據收集軟件的窺探，目前銀行等機構實現敏感或受監管數據遠程訪問的主要方案之一在于雙因子驗證機制。所謂雙因子，是指用戶知道的信息與用戶具有的信息：用戶知道的信息包括標準的登錄名與密碼。用戶具有的信息，即由密鑰卡(也稱為硬件安全令牌)或者手機等設備生成的一次性動態密碼。

雙因子認證也不保萬全

然而，僵尸網絡的組織者們針對這套方案推出了應對機制，也就是瀏覽器中間人(簡稱MitB)攻擊。在MitB攻擊當中，惡意軟件會偽裝成從表面上看與合法網絡站點毫無區別的銀行網站。用戶一旦訪問這些欺詐性網站，必然會向其提供必要的安全登錄資料，包括雙因子身份驗證過程中產生的動態密碼。只要信息輸入完成，欺詐性網站會立即將信息轉發至真正的銀行站點，再由組織者接手對受害者賬戶進行訪問。

另一種常見的MitB攻擊方式則暗中通過受害者的瀏覽器將附加字段注入到銀行的登錄頁面中，這些附加字段會在登錄過程中要求用戶輸入比通常情況下更詳細的個人信息。例如母親的姓名、出生城市等等。有了這些細節資料，僵尸網絡組織者將可以堂而皇之地致電銀行，索取用戶個人資料，并直接對受害賬戶加以訪問。

值得慶幸的是，目前銀行已經部署了大量復雜的算法，有助于識別賬戶內部的欺詐活動。當惡意活動出現時，銀行方面往往會立即提醒受害者核查賬戶的可疑操作。然而一旦組織者成功實施了MitB攻擊，他們通常會首先將個人信息中的“聯系電話”設定為VoIP號碼并轉接到自己這邊。如此一來，當銀行在撥打用戶電話時，實際撥通的是組織者的號碼。這個時候惡意人士就可以為所欲為了，甚至直接通過海外電匯將受害者的資金轉到境外賬戶。

另一種關注程度不高的僵尸網絡影響在于對機密信息及知識產權資料的竊取。目前已經有僵尸網絡嘗試通過有針對性的電子郵件在企業或政府機構的特殊用戶系統中安裝后門。一旦企業網絡被這種魚叉式網絡釣魚攻擊所滲透，組織者將悄無聲息地對受害者個人計算機及其能夠訪問的共享網絡驅動器加以搜索，試圖尋找技術圖紙、源代碼、投標報價文件、客戶名單，以及內部電子郵件等敏感數據。#p#

金錢：僵尸網絡最主要動機

軟件開發者之所以會創造出這樣復雜的惡意軟件，自然是看中了僵尸網絡強大的贏利能力，而且其創建與維護方面的風險也相當之低。由于互聯網的全球化特性，以及僵尸網絡組織者出色的隱藏能力，我們很難揪出這些犯罪分子，更別說逮捕或對他們提起訴訟。

僵尸網絡組織者通過出租方式將自己的成品方案交給有意進行拒絕服務攻擊的客戶，由此帶來的經濟收益每天可高達數千美元。組織者甚至想出了將僵尸網絡體系進一步劃分為更小群組的方法，旨在同時針對多個站點發起多輪攻擊。對于小型網站而言，一般由幾百臺僵尸設備構成的體系即可使其陷入癱瘓。而在大型網站方面，則往往需要成千上萬臺設備聯手協作。根據攻擊規模的不同，組織者能夠通過調整，最大限度地提高資金收入。卡巴斯基實驗室發布的一項研究結果表明，僅在2008年僵尸網絡持有者通過DDoS攻擊所獲得的收入總額就高達兩千萬美元之巨。

另外，出售從受害者處搜集到的個人信息也能成為收入來源。根據賬戶類型的不同，每個用戶賬戶平均能賣到5到15美元。這些賬戶通常會被匯總在大的資料包中，批量出售給有意從事經濟詐騙的惡意人士。對于那些打算通過垃圾郵件竊取更多信息的犯罪分子來說，電子郵件地址也成為理想的交易對象——目前一萬個電子郵件地址的售價在20到100美元之間。僵尸網絡持有者自己也提供垃圾郵件發送服務，當下每兩萬封電子郵件的發送費用約為40美元。事實上，某些僵尸網絡在一天之內就能發送上千萬封垃圾郵件，大家可以算算他們的實際經濟收入何等可觀。搜索引擎優化感染的單位價格更高，每兩萬個垃圾鏈接、文章或評論的收費就是80美元。

按點擊收費領域的欺詐行為又是另一種賺錢的好途徑。根據微軟研究院發布的一項調查，目前每季度所有在線廣告點擊中約有四分之一來自欺詐性操作。ClickForensics網站則認為有17%的廣告點擊源自欺詐活動，其中約有三分之一直接由僵尸網絡實現。基于在線廣告支出總額，我們可以計算出點擊欺詐行為每年給僵尸網絡持有者們帶來總計上千萬美元的收入。

比特幣的出現為僵尸網絡組織者開辟了一條賺錢的新路，盡管收益不高但卻相當簡單、穩定，且完全是筆外財。通過安裝非法軟件，組織者將在僵尸成員們的辛勤勞作下源源不斷地獲得比特幣。

最重要的是，上述贏利機制彼此之間并不矛盾——“聰明勤勞”的僵尸網絡運營者能夠利用被感染的計算機，同時從事其中大多數甚至全部贏利方案。#p#

惡意軟件背后的從業者

如今的網絡犯罪活動已經進入組織化、集團化模式，與合法企業一樣追求運營效率最大化。正如FortiGuard在2013年犯罪軟件報告中的結論，這些犯罪組織擁有完善且為我們所熟悉的結構體系：高層管理者，中層管理人員，最后是苦工分別負責具體工作以及資金轉移。

僵尸網絡開發者絕不會在完成了網絡部署后就沉浸在成功的喜悅中而是努力想辦法改善自己的技術成果，使其更難被檢測并移除。另外，他們也在不斷尋求新的賺錢途徑，希望讓受感染的設備能為自己帶來更可觀的收入。通過將命令服務器隱藏在多層代理服務器之后，加密通信機制甚至完全脫離傳統客戶端-服務器方案而轉向點對點結構等創新型策略，他們不斷用自己的“聰明才智”將反惡意軟件及威脅的研究帶向新的高度。#p#

僵尸網絡越來越廉價

僵尸網絡曾經是個圈子有限、對技術水平要求很高的領域。但時至今日，創建僵尸網絡的起步成本已經幾乎為零。舉例來說，2011年5月臭名昭著的Zeus僵尸網絡源代碼被泄露到網上，任何愿意花點時間搜尋互聯網資源的訪問者，都能在某些藏得較深的角落里找到軟件拷貝，且只需稍加修改就能打造自己的僵尸網絡體系。2012年12月，賽門鐵克公司發現了一名犯罪分子，這家伙愿意以250美元的價格幫助技術水平不高的用戶完成Zeus的全面安裝。

更具專業性的僵尸網絡服務每個月則需要花費數千美元的代理運營成本，但專業服務通常包含受感染計算機網絡訪問，以及全天候技術支持等高端項目。

如果某個有理想、有抱負，但卻缺乏編程知識的家伙希望設置并部署屬于自己的僵尸網絡，那么時至今日成熟的服務體系將會圓滿實現其犯罪渴望，或者按他們自己的說法叫“創業意愿”。舉例來說，協助客戶建立僵尸網絡的咨詢類服務一般只需350到400美元。

一旦體系建成，僵尸網絡軟件需要通過不斷傳播來最終轉化為完全成熟的犯罪體系。目前已經有一些網站聯盟推出了按安裝數量計費(簡稱PPI)的網絡擴散模式，幫助客戶迅速將自己的木馬傳播出去，從而建立規模的僵尸網絡。這類惡意聯盟需要的信息很簡單：第一，客戶需要感染多少套系統。第二，由客戶提供相應的僵尸網絡軟件。除此之外，他們將打理剩下的一切事務。再來看令人怦然心動的實惠價格——每一千次安裝僅收費100美元。其承接的服務目標區域也相當廣泛，無論是北美、歐洲還是澳大利亞都沒問題，不過在亞洲及東歐的計費標準會更高一些。

一般來說，租賃僵尸網絡來實施拒絕服務攻擊的價格為535美元，涵蓋時間為一周、每天五小時。發送兩萬封垃圾郵件的費用為40美元，在論壇及評論中發布垃圾信息的費用則為每30條2美元。#p#

如何阻止僵尸網絡的擴散

盡管僵尸網絡持有者們似乎占盡了上風，但如今我們也已經擁有多種手段足以與之相抗衡。微軟等主流企業紛紛轉向法律制度，希望針對僵尸網絡持有者制定司法議案來對其進行起訴。過去我們無法控告一個連真實姓名都不了解的對象，但在新的議案中，無論是網絡昵稱還是“匿名者”都可以成為犯罪嫌疑人。最近域名登記服務的嚴格管控已經初見成效，原本可被僵尸網絡持有者用于創建數千域名，以保證C&C基礎設施正常起效的寬松機制已經逐漸收緊。

如果一位研究人員能夠通過逆向工程的方式解析服務器列表生成所使用的算法，就完全有可能幫助反僵尸網絡機構提前注冊這些域名，從而以阻斷C&C服務器的方式控制住僵尸網絡。這項技術通常被稱為“sinkholing”，能夠非常有效地減緩，甚至消除僵尸網絡的負面影響，尤其是在惡意軟件與安裝或卸載程序整合時效果更好。Sinkholing技術同時也是研究人員了解僵尸網絡的理想工具，它能夠粗略估算僵尸網絡的實際規模、受感染終端如何與組織者進行通信，甚至在某些情況下揭開持有者所處位置或身份等秘密。

計算機應急響應小組(簡稱CERT)同樣在努力幫助我們扼制僵尸網絡的蔓延。許多國家的學術機構及企業都擁有自己的CERT組織，而且這些團隊往往樂于在彼此之間共享信息。當多方面都希望阻止同一項網絡犯罪活動時，各CERT組織通常會以帶頭人的身份參與進來，起到至關重要的指揮與調度作用。未來可能將有更多公共及民間團隊開展國際化合作，通過加大域名注冊機制監控力度的方式，阻止僵尸網絡擴散，從而更迅速地對這類威脅做出響應。#p#

僵尸網絡如何演變

以智能手機與平板設備為代表的移動終端已經無處不在。隨著移動趨勢浪潮的洶涌襲來，訪問網絡的設備數量激增，但同時大量出現的還有移動惡意軟件。移動設備已經成為很多僵尸網絡開發者的首選目標，相信在不久的將來，我們會看到利用移動設備成功實現此類資金營收的嘗試。到那個時候，短信收費欺詐，以及勒索軟件必然引發新一輪威脅狂潮，同時成為犯罪分子們的又一吸金法寶。

FortiGuard實驗室還發現了另一個有趣的現象，即在過去一年中，很多個人會自愿在設備上安裝惡意代碼，使自己成為僵尸網絡中的一部分。以“匿名者”為代表的黑客組織會向其程序員群體提供工具，并統一下達命令，針對企業、政府或者其他機構發起出于政治目的的猛烈攻擊。總體來說，這類自愿參與的情況往往仍被視為惡意活動，而且由于很多人對需要表達特定訴求的困苦群體充滿同情，因此這類示威型攻擊短時間內很難消除。

從向互聯網用戶發送垃圾郵件到竊取金錢，再到刺探政府機密，僵尸網絡已經給互聯網乃至全球經濟帶來巨大影響。僵尸網絡的運營者們神出鬼沒，難以定位，不易防范，甚至幾乎沒辦法對其提出訴訟。而互聯網的匿名性以及不同國家之間政策的差異性也使得網絡犯罪分子的活動風險極低，但回報卻非常可觀。只有全球安全組織與各個國家齊心協力、團結合作、迅速響應，才能真正與僵尸網絡及其創造者們相抗衡。

本文節選自FortiGuard全球安全威脅與響應實驗室2013僵尸網絡研究報告。