【51CTO.com快譯】在今年早些時(shí)候，加州大學(xué)圣巴巴拉分校（UCSB）的研究小組令人吃驚的殺入了互聯(lián)網(wǎng)的黑暗陣營(yíng)，他們成功地入侵了一個(gè)僵尸網(wǎng)絡(luò)，并且掌握了大量關(guān)鍵細(xì)節(jié)，可以幫助IT行業(yè)更好的保護(hù)自己免受類似威脅。

研究人員來自學(xué)校的計(jì)算機(jī)科學(xué)系，他們控制了一個(gè)Torpig僵尸網(wǎng)絡(luò)（也稱Mebroot或Sinowal）長(zhǎng)達(dá)一周多的時(shí)間，研究僵尸網(wǎng)絡(luò)如何工作，并且更好的理解了這種威脅的蔓延方式。當(dāng)然，如果您對(duì)僵尸網(wǎng)絡(luò)還不夠了解，可以參考51CTO.com安全頻道中專家的詳細(xì)介紹：什么是僵尸網(wǎng)絡(luò)。

在他們控制Torpig的10天內(nèi)，他們還檢查了僵尸網(wǎng)絡(luò)從被感染的PC用戶那里竊取的信息，被感染的PC總數(shù)大概是18280臺(tái)，其中約有17217臺(tái)在企業(yè)網(wǎng)絡(luò)上。

上個(gè)月小組發(fā)布了研究報(bào)告，報(bào)告中說他們觀察的僵尸網(wǎng)絡(luò)在用戶沒有察覺的情況下竊取了超過69GB的數(shù)據(jù)，主要是銀行帳戶憑據(jù)和信用卡信息，這兩者都是網(wǎng)絡(luò)罪犯的最想得到的目標(biāo)。

在10天的觀察中，Torpig僵尸竊取了1660個(gè)獨(dú)立的信用卡或借記卡號(hào)，以及410家不同的金融機(jī)構(gòu)的8310個(gè)賬戶。其中的熱門目標(biāo)包括PayPal賬戶1770個(gè)，Poste Italiane賬戶765個(gè)，Capital One賬戶314個(gè)，E*Trade賬戶304個(gè)，以及Chase賬戶217個(gè)（51CTO.com注，以上這些賬戶都是美國(guó)常見的金融領(lǐng)域運(yùn)營(yíng)品牌）。其他的被盜數(shù)據(jù)包括電子郵件地址、電子郵件帳戶和Windows密碼等。研究人員說，他們已將發(fā)現(xiàn)的信息提供給了受影響的金融機(jī)構(gòu)和執(zhí)法機(jī)關(guān)。

避免數(shù)據(jù)被盜

報(bào)告中也許最讓人惱火的部分就是研究小組了解到有很多損失本是可以預(yù)防的。“我們發(fā)現(xiàn)，很多被感染的用戶沒有使用最新版本的操作系統(tǒng)或網(wǎng)頁(yè)瀏覽器，”UCSB副教授Giovanni Vigna說，他的呼吁和所有安全工作者們一樣，請(qǐng)讓軟件保持最新的更新。

然而，即使是防御周密的用戶也可能被僵尸網(wǎng)絡(luò)攻破，因?yàn)榻┦W(wǎng)絡(luò)會(huì)使用“瀏覽即下載（drive-by download）”的感染技術(shù)，在合法網(wǎng)站中安裝惡意軟件。此外，根據(jù)51CTO.com安全頻道專家的經(jīng)驗(yàn)，僵尸網(wǎng)絡(luò)等攻擊手段的日益翻新，例如0Day攻擊等，也讓很多傳統(tǒng)的防御手段束手無策，比如近期的Adobe閱讀器漏洞攻擊等。

研究小組說，雖然侵入了Torpig，但他們沒有試著摧毀它，因?yàn)檫@樣做可能有意想不到的后果，可能會(huì)促使罪犯采取進(jìn)一步的保護(hù)行動(dòng)。例如，Torpig現(xiàn)在已經(jīng)使用了一種更加復(fù)雜的算法，研究小組的成員說，對(duì)手已經(jīng)察覺并且關(guān)閉了他們得以控制的僵尸網(wǎng)絡(luò)一個(gè)漏洞。

怎樣潛入僵尸網(wǎng)絡(luò)

研究小組的成員首先要弄清僵尸網(wǎng)絡(luò)要到哪里去尋找攻擊域名的指令，即他們通常用來控制網(wǎng)絡(luò)的command-and-control（C&C）服務(wù)器。

研究小組稱Torpig僵尸網(wǎng)絡(luò)使用的技術(shù)為domain flux（域名流動(dòng)技術(shù)，關(guān)于捕捉動(dòng)態(tài)域名或“域名流動(dòng)技術(shù)”介紹請(qǐng)參見51CTO.com安全頻道：SNIFFER透視動(dòng)態(tài)域名），Torpig每周會(huì)按照一種新的順序檢查一個(gè)不同的網(wǎng)站，目的是使安全研究人員更難預(yù)計(jì)僵尸的行動(dòng)。

但是，研究小組證明了要想找到Torpig最新指示的攻擊目標(biāo)并不困難。這是因?yàn)門orpig僵尸網(wǎng)絡(luò)在確定攻擊目標(biāo)時(shí)使用了比較簡(jiǎn)單的算法：使用當(dāng)前的日期創(chuàng)建一個(gè)隨機(jī)域名，然后對(duì)該域名的.com、.net和.biz等頂級(jí)域名進(jìn)行獵殺。

研究小組發(fā)現(xiàn)，僵尸網(wǎng)絡(luò)的主人僅提前幾周才開始準(zhǔn)備攻擊，因此他們提前計(jì)算出了Torpig將很快檢查的域名，并特意在名聲不好的域名提供商那里購(gòu)買了這些域名。

這種做法收到了成效，研究小組在1月25日成功控制了C&C服務(wù)器，并開始接收Torpig收割到的所有數(shù)據(jù)。研究在2月4日停頓下來，因?yàn)榻┦W(wǎng)絡(luò)控制者有所查覺，使用了新版的Torpig，改變了僵尸網(wǎng)絡(luò)選擇域名的算法。

那么研究小組還能夠重復(fù)他們的實(shí)驗(yàn)來打擊僵尸網(wǎng)絡(luò)嗎？有可能。

“研究員們逆向研究了新算法，發(fā)現(xiàn)他們最近改變了域名算法，按照Twitter熱門主題的第一個(gè)字母來生成域名列表?！盫igna說。但是，這樣的方法不可能對(duì)每一個(gè)僵尸網(wǎng)絡(luò)都能正常工作。雖然這次入侵Torpig的成本僅為20美元——只是注冊(cè)兩個(gè)域名的成本——但研究小組的報(bào)告指出，新的惡意軟件已經(jīng)設(shè)計(jì)出來，如果依然采取購(gòu)買域名的方法，那么花費(fèi)將無法接受。例如，最近的Conficker變種每天可以產(chǎn)生多達(dá)5萬個(gè)域名的列表，要想把這些域名都買下來，每年的開銷將是一個(gè)天文數(shù)字。

另外捕獵僵尸網(wǎng)絡(luò)還要考慮到更現(xiàn)實(shí)的條件。Vigna說，在他們決定入侵Torpig之前他曾警告說，學(xué)校的IT部門可能會(huì)在幾周內(nèi)碰到一些不尋常的網(wǎng)絡(luò)流量。

“我們的實(shí)驗(yàn)室已經(jīng)習(xí)慣了各種稀奇古怪的網(wǎng)絡(luò)事件，但我們還是做好了準(zhǔn)備，”Vigna說，“我們真的不知道能不能成功入侵，能收集到多少信息，但最終我們做到了，現(xiàn)在看來效果還不錯(cuò)?！?/P>

【51CTO.com譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】

原文：Researchers Seize Botnet, Peer Into Net's Dark Side  作者：Alex Goldman

【編輯推薦】

1. 什么是僵尸網(wǎng)絡(luò)
2. SNIFFER透視動(dòng)態(tài)域名
3. 從服務(wù)器滲透到獲取個(gè)人信息實(shí)戰(zhàn)
4. 暴風(fēng)火速發(fā)布0day漏洞補(bǔ)丁(附下載地址)
5. iPlanet日志分析器日志文件HTML標(biāo)記插入漏洞
6. Ethereal OSPF協(xié)議分析器緩沖器溢出漏洞