2009年是重要惡意軟件和在線惡意活動(dòng)年份，原因很多，而其中數(shù)個(gè)都和Botnet僵尸/傀儡網(wǎng)絡(luò)有關(guān)。一個(gè)僵尸，或一個(gè)宿主，指的是受惡意軟件感染而遭犯罪份子從遠(yuǎn)程操控的個(gè)人計(jì)算機(jī)。當(dāng)犯罪份子運(yùn)作網(wǎng)絡(luò)時(shí)，受操控的感染計(jì)算機(jī)從上萬到上千萬臺(tái)不等，犯罪份子們使用這些計(jì)算機(jī)來增強(qiáng)現(xiàn)今常見的網(wǎng)絡(luò)犯罪功能，如垃圾郵件散發(fā)，服務(wù)阻斷式攻擊(DDoS：Distributed Denial of Services)，恐嚇軟件(scareware)，網(wǎng)絡(luò)釣魚，及惡意或非法的主機(jī)網(wǎng)站等，涉及了所有網(wǎng)絡(luò)犯罪這塊大餅上所有的項(xiàng)目。

前半年度，Conficker 破壞程序(又稱Downadup或 Kido)占據(jù)了惡意軟件世界所有的頭條篇幅。最后Conficker僵尸網(wǎng)絡(luò)被發(fā)現(xiàn)是在進(jìn)行標(biāo)準(zhǔn)的網(wǎng)絡(luò)犯罪內(nèi)容，如利用宿主散發(fā)垃圾郵件及偽造的假防毒軟件(或恐嚇軟件)。 報(bào)導(dǎo)此攻擊爆發(fā)的熱潮與退燒同樣迅速，但可別以為這個(gè)威脅就這樣消失無蹤了。由安全軟件供貨商，研究人員和其它商業(yè)機(jī)構(gòu)所組成的聯(lián)盟團(tuán)隊(duì)，Conficker工作小組(Conficker Working Group)目前正在展示(currently showing)將近6百萬個(gè)特殊的IP，這些IP顯然都已遭此惡意軟件感染。

2009年度與僵尸軟件無關(guān)但卻相當(dāng)重要的趨勢(shì)是社交網(wǎng)絡(luò)被惡意濫用的激增。在如Facebook臉書，Twitter和MySpace等社交網(wǎng)站上活躍的龐大使用者人口數(shù)量，對(duì)在線組織型犯罪提供了難以抵抗的誘因，進(jìn)行宿主征募及偽造防毒軟件詐騙。Facebook就曾遭流氓自動(dòng)程序?yàn)E用(abused by rogue Apps)，誘騙使用者點(diǎn)擊與廣告網(wǎng)絡(luò)結(jié)盟的聯(lián)結(jié)，讓制作聯(lián)結(jié)者因每一次的點(diǎn)擊而獲利。Facebook也曾被用來以許多不同方式散發(fā)惡意軟件，如張貼在涂鴉墻與信息中的惡意連結(jié)，特別設(shè)計(jì)用來入侵賬戶(hijack accounts)的惡意軟件，和從外部破壞入侵(external compromise )合法的Facebook自動(dòng)程序。

Koobface家族的惡意軟件(也是僵尸網(wǎng)絡(luò))在2009年間進(jìn)化。剛開始時(shí)是利用惡意信息和墻面張貼方式夾帶偽造YouTube聯(lián)結(jié)，假設(shè)需要特別的譯碼器才能觀看影片。所謂的譯碼器當(dāng)然是子虛烏有，只會(huì)造成賬戶的感染。不過Koobface現(xiàn)在已進(jìn)化到可以自行制作偽造的Facebook個(gè)人檔案頁(yè)面(capable of creating its own fake Facebook profile)，并加入認(rèn)證用的Gmail郵件賬號(hào)，個(gè)人照片及自傳等資料讓檔案看來更加逼真。這個(gè)假的賬戶接著便會(huì)去加入其它網(wǎng)絡(luò)并送出交友要求，而行所有這些動(dòng)作都是自動(dòng)化進(jìn)的。

接下來就是開始好玩的地方了。除了散發(fā)垃圾郵件和惡意軟件，web 2.0網(wǎng)站在2009年間曾被以令人擔(dān)憂的新方式進(jìn)行濫用。Twitter和Google Reader都曾被用在垃圾郵件散發(fā)攻擊中做為登陸頁(yè)面(used as the landing page)，企圖以此回避電子郵件的URL篩選。最近幾個(gè)月來，Twitter，F(xiàn)acebook，Pastebin，Google Groups，和Google AppEngine皆曾被運(yùn)用做為僵尸網(wǎng)絡(luò)的代理操控中心伺服主機(jī);上周更有報(bào)道(it was reported)指出Zeus僵尸網(wǎng)絡(luò)入侵破壞Amazon亞馬遜云端操控EC2的伺服。這些公眾論壇被設(shè)定來發(fā)布混碼指令，以便對(duì)全球散播僵尸網(wǎng)絡(luò)。這些指令通常包含更進(jìn)一步的URL，讓宿主可接觸來下載指令或組件。

這些網(wǎng)站和服務(wù)的吸引力，來自于其提供了公開化，可提升，易取得且無需具名的方式以維護(hù)操控基礎(chǔ)架構(gòu)，這些特色同時(shí)也更進(jìn)一步降低了被傳統(tǒng)技術(shù)檢測(cè)出的機(jī)會(huì)。盡管網(wǎng)絡(luò)內(nèi)容的檢測(cè)解決方案可輕易地在當(dāng)受入侵的端點(diǎn)與已知不良網(wǎng)站(操控伺服)，或和可疑及有害的通路如IRC，溝通時(shí)檢測(cè)出問題;個(gè)人計(jì)算機(jī)通過port 80向Facebook臉書，Google，或Twitter等服務(wù)供應(yīng)者提出標(biāo)準(zhǔn)的HTTP GET要求，甚至于1天多次，就過去安全紀(jì)錄來看都可認(rèn)定是完全正常的運(yùn)作。然而當(dāng)僵尸網(wǎng)絡(luò)操控者和犯罪集團(tuán)企圖讓他們的操控基礎(chǔ)架構(gòu)消聲匿跡，混入因特網(wǎng)中尋常的白噪音中時(shí)，就不是這么一回事了。

2009年多數(shù)的創(chuàng)作皆環(huán)繞在僵尸網(wǎng)絡(luò)的操控系統(tǒng)，這件事并不是個(gè)巧合。舊式IRC操控的僵尸網(wǎng)絡(luò)絕大部份都在24小時(shí)內(nèi)關(guān)閉，點(diǎn)對(duì)點(diǎn)的宿主通常會(huì)留下清楚可見的特征，造成計(jì)算機(jī)端的殲滅。我認(rèn)為網(wǎng)絡(luò)犯罪份子正在評(píng)估Web 2.0僵尸網(wǎng)絡(luò)的一項(xiàng)操控因素，即如果仰賴單一供應(yīng)者如Facebook或Google，當(dāng)惡意Facebook網(wǎng)頁(yè)被關(guān)閉后，整個(gè)僵尸網(wǎng)絡(luò)也就被癱瘓掉了。僵尸網(wǎng)絡(luò)制作者投資了大量的時(shí)間和程序，來散布他們所管理的使用了即融(fast-flux)或點(diǎn)對(duì)點(diǎn)(peer-to-peer)協(xié)議的基礎(chǔ)架構(gòu)。因?yàn)槲覀儗?huì)看到他們將教訓(xùn)運(yùn)用到更新的“云計(jì)算操控”僵尸網(wǎng)絡(luò)中。最新的Koobface變化版極有可能具備了多重自動(dòng)化成型的個(gè)人檔案的能力，用來減緩因使用在單一供應(yīng)者如Facebook或Twitter之個(gè)人檔案做為掩護(hù)，由于單點(diǎn)失敗所形成的效應(yīng)。

每當(dāng)談到僵尸網(wǎng)絡(luò)，都很希望能講出像“情況愈來愈有改善”的話。但事與愿違。愈來愈多的計(jì)算機(jī)皆受到感染，而被感染的時(shí)間也愈來愈長(zhǎng)了。

【編輯推薦】

1. 揭秘：云計(jì)算與網(wǎng)絡(luò)安全的6個(gè)趨勢(shì)
2. 云計(jì)算是怎樣入侵統(tǒng)一通信領(lǐng)域的
3. 數(shù)據(jù)備份安全戰(zhàn)略：云安全、加密與數(shù)據(jù)銷毀