互聯網上的僵尸會永生么?
近期發生了三起較有影響力的,業界聯手打擊僵尸網絡的事件。
一是歐美執法部門聯合安全企業關閉了了辛巴達僵尸網絡的14臺命令控制服務器。該僵尸網絡半年業感染了全世界190國家的77萬臺計算機。
二是英特爾安全、卡巴斯基以及歐洲和美國的執法機構聯合打掉了已經存在6年的擁有3.5萬臺肉機的僵尸網絡“蜂骨”(Beebone)。
三是國際電信巨頭Level 3與思科直接把“SSH精神病”(Psychos)關進了黑洞。
但不幸的是,僵尸不死。
9個月前,Akamai威脅研究小組在其博客上記錄了一個僵尸網絡的技術細節。這個僵尸網絡利用Joomla內容編輯器插件的一個已知漏洞,上傳未授權的惡意文件。九個月后,研究小組還在繼續觀察這個僵尸網絡。
你也許認為作為一個有逼格的僵尸大人,本該默默地在黑暗世界游走,但卻被安全博客披露的體無完膚,應該無法再在這個圈子里混了。但恰恰相反,它不僅沒有逐漸銷聲匿跡,反而還繼續進化,侵蝕到了其他的內容管理系統,比如WordPress。
那么,我們就只能看著這個毫不尊重互聯網秩序的惡棍繼續地肆無忌憚?僵尸的確不死,但那是在電影、電視上,互聯網上的僵尸會永生么?
僵尸概覽
這個僵尸網絡包含1037個肉機,均為互聯網上公開的網頁服務器,絕大部分運行著Joomla和WordPress。
盡管它算不上一只大型僵尸,但仍然能給如今的網絡環境帶來不小的威脅。從DDoS攻擊,到數據盜竊,再到網站掛馬、惡意鏈接,掃描網絡尋找肉機,進一步擴大感染。它使用分布式技術針對7800種網頁應用程序,以盡可能多的找到有漏洞的網站內容管理系統。
通過對這只僵尸的分析,發現以下幾點主要特征:
1.不停的活動
盡管它的活動程度在下降,但它并沒有死掉,每天平均都有50臺肉機處于活動中。
2.隨著時間增長
有趣的是,雖然觀察到它的活動程度在下降,可是它實際上還在不斷的捕獲新的肉機,增加自己的體量。平均每天約有11臺肉機加入進來,即每個月360臺。
3.肉機的活動時間
基于Joomla的肉機平均是29天,其他網站平臺的服務器是10天。原因未知,但懷疑與Joomla漏洞的大規模利用有關。
4.JCE漏洞之外
除了JCE,還發現其他的平臺及其相關漏洞也是該僵尸網絡的對象:
· WordPressr圖片尺寸重設模塊TimThumb中的遠程文件包含(RFI)漏洞
· Open Flash Chart庫的遠程代碼執行(RCE)漏洞
5.肉機壽命
9個月之前的肉機中,還有43臺機器還在進行惡意活動。這么長的生存時間不得不令人驚訝,因為現在的環境非常不利用肉機生存。如:
a) 該僵尸針對一個已曝光3年的漏洞,含有此漏洞的服務器應該都已經升級了;
b) 對該漏洞的利用已經廣為人知,況且這也不是第一個JCE漏洞;
c) 該僵尸網絡的活動非常明顯,毫不諱人,攻擊許多網站應用程序,因而很容易被檢測到。
6.肉機上的后門
發現某些肉機上有安裝后門的跡象,這些后門可以遠程控制肉機,完全的擁有這臺機器。后門的操縱者可以盜取肉機用戶的金融和個人信息,并發動針對其他服務器的各種攻擊。
總結
很不幸,僵尸網絡的故事無法終結。
僅僅對僵尸網絡和它的伎倆進行曝光,是無法阻止它的。而且,即使屏蔽掉它控制著的每一臺肉機也稱不上是非常有效的方法,因為它繁衍的更快。我們需要另外的解決方案。
一種方案是通過基于信譽的系統監控所有的攻擊源,從而令安全操作人員能夠依據過去行為和行為分類來評估新出現的威脅。通過對網絡流量各因素的處理,如攻擊者的持續性,攻擊目標程序的數量,攻擊程度和造成的嚴重性,給其打分,以預測攻擊源的下一步行動或意圖,然后預先采取行動。
另一種方案則是本文開始的“SSH精神病”,找到攻擊源后直接從電信運營商級別把攻擊流量扔進黑洞。
但這兩種方案并不容易實現,首先信譽系統的建立和統一就是一個非常麻煩的事情。而直接與電信運營商合作,則關乎法律問題,更何況不是每個安全廠商都能夠方便自由的與電信聯合一起打僵尸的。
僵尸網絡利用的是漏洞,只要它咬上你一口,你便成為其中一份子,然后自動尋找下一個受害者。無論怎樣,它都會永遠繼續下去。除非它咬不到人,也就意味著一個沒有漏洞的互聯網。
很明顯,這是不可能的。
最新消息
2007年出現的“推動”(Pushdo)僵尸網絡,在承受了四次打擊圍剿之后,隨著一個最新的版本又重生了。目前,該僵尸網絡的感染范圍已到50個國家。
