Kaspersky日本實(shí)驗(yàn)室的一名研究人員稱(chēng)，由于法律的限制，那些監(jiān)控世界上一些大規(guī)模僵尸網(wǎng)絡(luò)（botnet）的危害程度與活動(dòng)的安全研究團(tuán)隊(duì)幾乎無(wú)法采取有效措施來(lái)阻止僵尸網(wǎng)絡(luò)。

在上周三舉行的2010事件響應(yīng)以及安全團(tuán)隊(duì)（FIRST）會(huì)議上，Kaspersky的首席安全專(zhuān)家Vitaly Kamluk向數(shù)百位事件響應(yīng)團(tuán)隊(duì)成員指出，由于安全研究人員無(wú)法采取有效的辦法來(lái)關(guān)閉僵尸網(wǎng)絡(luò)，整個(gè)僵尸網(wǎng)絡(luò)生態(tài)系統(tǒng)正在蓬勃發(fā)展。Kamluk表示：僵尸網(wǎng)絡(luò)的技術(shù)水平越來(lái)越高，而地下商業(yè)環(huán)境更是起到了火上澆油的作用。

“我們必須在技術(shù)方面下更多的功夫，”Kamluk 指出，“我們必須引進(jìn)更多的技術(shù)解決方案，來(lái)打破這個(gè)循環(huán)，并且撤掉那些讓惡意軟件有用武之地的基礎(chǔ)設(shè)施?！?/P>

Kamluk解釋了網(wǎng)絡(luò)罪犯如何采取措施來(lái)監(jiān)督僵尸網(wǎng)絡(luò)擁有者和租用僵尸網(wǎng)絡(luò)的用戶之間的交易。一位擔(dān)保人或者中間人（這個(gè)人通常是進(jìn)行犯罪活動(dòng)的web論壇版主）監(jiān)督著交易，并從中獲益。Kamluk指出，他們這樣做的目的是在兩者之間建立起某種程度的信用等級(jí)，并驅(qū)逐欺騙者，也就是那些沒(méi)有為僵尸網(wǎng)絡(luò)服務(wù)付錢(qián)的人。

“擔(dān)保人必須有聲望和地位，”Kamluk表示，“在論壇上他們比新注冊(cè)的人更加可信，而且他們能夠保證交易的可靠性?！?/P>

Kamluk指出，在僵尸網(wǎng)絡(luò)發(fā)展到失去控制之前，一定要破壞僵尸網(wǎng)絡(luò)的基本技術(shù)以及地下市場(chǎng)系統(tǒng)?，F(xiàn)在有這樣的技術(shù)，可以切斷僵尸網(wǎng)絡(luò)命令和控制能力，并審查那些受到感染的機(jī)器（即組成僵尸網(wǎng)絡(luò)的電腦）。但是，有專(zhuān)家質(zhì)疑這種行為的道德性。從法律的角度看，法官們想知道，如果出現(xiàn)差錯(cuò)誰(shuí)將為此負(fù)責(zé)。而且，由于這種行為與網(wǎng)絡(luò)罪犯感染機(jī)器類(lèi)似，很難區(qū)分整個(gè)過(guò)程到底是犯罪活動(dòng)還是安全團(tuán)隊(duì)采取的行動(dòng)。人們努力通過(guò)法律途徑揪出無(wú)賴(lài)ISP主導(dǎo)的僵尸網(wǎng)絡(luò)病毒以及其他的邪惡活動(dòng)，但是成效有限。

在Gumblar案件中，當(dāng)沒(méi)有人為干預(yù)時(shí)，一個(gè)像僵尸網(wǎng)絡(luò)那樣傳播的FTP密碼偷盜木馬感染了多達(dá)12000臺(tái)Web服務(wù)器，研究人員已經(jīng)發(fā)現(xiàn)了一個(gè)后門(mén)程序，可以從根本上幫助清理受Gumblar感染的服務(wù)器，使病毒無(wú)法工作。

“可能我們只需要五分鐘就能清理好這12000臺(tái)web服務(wù)器，但在沒(méi)有經(jīng)授權(quán)時(shí)這是違法的，所以我們不能這樣做，”Kamluk說(shuō)道。

Arbor Networks公司的僵尸網(wǎng)絡(luò)專(zhuān)家Jose Nazario也描繪了類(lèi)似的黯淡前景：攜帶拒絕服務(wù)（DoS）攻擊的僵尸網(wǎng)絡(luò)（botnet）很難控制。Jose Nazario表示，僵尸網(wǎng)絡(luò)被三個(gè)或者四個(gè)不同團(tuán)體所控制，阻止和調(diào)查他們的成本會(huì)持續(xù)增加。

“挑戰(zhàn)非常大，我們還沒(méi)有做好應(yīng)對(duì)措施，”Nazario在對(duì)第一批與會(huì)者的演講中這樣說(shuō)，“當(dāng)攻擊者想進(jìn)行攻擊的時(shí)候，網(wǎng)絡(luò)安全的門(mén)是大開(kāi)的?！?/P>

人們認(rèn)為Conficker這個(gè)眾所周知的可以快速傳播的蠕蟲(chóng)已經(jīng)感染了超過(guò)七百萬(wàn)臺(tái)機(jī)器。研究團(tuán)隊(duì)還在繼續(xù)阻擊它的命令和控制鏈。Torpig 或者Sinowal，一種偷竊銀行認(rèn)證碼的僵尸網(wǎng)絡(luò)（botnet），具備一種精心設(shè)計(jì)的算法，這種算法使用查詢(xún)傾向（search trend）和其他方法來(lái)確定一個(gè)路過(guò)式（drive-by-download）下載域。因此，它只能通過(guò)試圖找到它使用的域名來(lái)間歇性對(duì)其進(jìn)行阻擊。

Nazario指出，“現(xiàn)在我們防御者的責(zé)任是在域名空間中試著通過(guò)逆向工程去進(jìn)行管理?！?/P>

【編輯推薦】

1. 專(zhuān)門(mén)攻擊路由器和DSL接入設(shè)備的僵尸網(wǎng)絡(luò)出現(xiàn)
2. 僵尸兇狠！DDoS攻擊強(qiáng)勢(shì)歸來(lái)