電子犯罪黑幫囤積著大量被惡意軟件所感染的僵尸機(jī)器，主要利用它們來發(fā)送大量的垃圾郵件。目的是推銷制藥、草藥及色情信息。但是它們也經(jīng)常被出租用于更加罪惡的目的，監(jiān)控這些機(jī)器的專家表示。

僵尸網(wǎng)絡(luò)可以用來實(shí)施分布式拒絕服務(wù)攻擊（簡(jiǎn)稱DDoS），利用被感染系統(tǒng)來中斷和徹底摧毀web站點(diǎn)。僵尸網(wǎng)絡(luò)通常傳播惡意軟件，并且是隱藏在釣魚攻擊活動(dòng)幕后的主要“引擎”、或是在強(qiáng)大的點(diǎn)擊攻擊活動(dòng)幕后的“推動(dòng)力”。犯罪新手剛開始在IRC網(wǎng)絡(luò)上做的活動(dòng)——使用連接到IRC上人們的力量把受害者踢下線——很快成為一種以盈利為目的的冒險(xiǎn)活動(dòng)，這和電子犯罪欺詐活動(dòng)有關(guān)，戴爾旗下的安全服務(wù)公司SecureWorks的惡意軟件研究主管Joe Stewart談到。“現(xiàn)在我們看到的是政府和黑客主義分子卷入到不僅僅是與金錢相關(guān)的游戲中”。

Stewart和其他安全專家表示，許多企業(yè)的網(wǎng)絡(luò)中運(yùn)行著他們沒有意識(shí)到的僵尸機(jī)器。這些被遠(yuǎn)程控制的惡意軟件目的不是為了干擾系統(tǒng)，是為了找出企業(yè)最具價(jià)值的財(cái)產(chǎn)：知識(shí)產(chǎn)權(quán)。“他們高度關(guān)注商業(yè)公司和政府部門”，Stewart說到。“任何你能夠想象得到的在這個(gè)虛擬世界中可能被竊取的東西，很可能是擁有僵尸網(wǎng)絡(luò)的某些人正在做的”。

Stewart和其他安全專家表示，許多公司過于依賴自動(dòng)化的系統(tǒng)來監(jiān)控網(wǎng)絡(luò)流量，例如像入侵防御與偵測(cè)系統(tǒng)這樣的大型安全設(shè)備。他們呼吁企業(yè)雇用技能熟練的IT安全從業(yè)人員來主動(dòng)地監(jiān)控這些系統(tǒng)并且調(diào)查問題。他們表示這種手段在問題發(fā)展為棘手的難題前解決并隔離它們，提升了在大多數(shù)企業(yè)中已部署的安全系統(tǒng)。

好消息是，使用大多數(shù)傳統(tǒng)的安全設(shè)備和終端安全軟件、包括防病毒軟件可以偵測(cè)到眾所皆知的僵尸網(wǎng)絡(luò)有關(guān)的一些惡意軟件。但是更為嚴(yán)重的威脅是針對(duì)性的攻擊——特別是那些瞄準(zhǔn)企業(yè)雇員的——這些攻擊利用的惡意軟件結(jié)合用于上躲避偵測(cè)的技術(shù)。一旦某個(gè)終端機(jī)器被隱匿的惡意軟件所感染，木馬程序就把自己嵌入到系統(tǒng)，然后嘗試連接電子罪犯等待指令。企業(yè)的網(wǎng)絡(luò)監(jiān)控工具能夠偵測(cè)到這些邪惡的流量并且攔截其中的一部分。但是過去的幾年中，電子罪犯已經(jīng)懂得使用強(qiáng)加密算法通過隧道進(jìn)行通信。在系統(tǒng)偶爾沒有被完全地監(jiān)控、或是發(fā)出類似于正常網(wǎng)絡(luò)流行的較小通信數(shù)據(jù)包，抓緊時(shí)間通信。

“你可以期待公司部署在網(wǎng)關(guān)、或是桌面的防病毒產(chǎn)品偵測(cè)到僵尸網(wǎng)絡(luò)感染，但是從測(cè)試結(jié)果中我們知道這些產(chǎn)品不具有最高的偵測(cè)率，” Stewart談到。“如果你深入網(wǎng)絡(luò)的國(guó)度，能夠發(fā)現(xiàn)許多此類的活動(dòng)，因?yàn)樗鼈儾粫?huì)十分頻繁地改變自身的網(wǎng)絡(luò)活動(dòng)指紋”。#p#

僵尸網(wǎng)絡(luò)的規(guī)模不是問題所在

Stewart表示最強(qiáng)大的僵尸網(wǎng)絡(luò)不一定是規(guī)模最大的。例如，F(xiàn)lame惡意軟件工具包位于伊朗的僵尸網(wǎng)絡(luò)不到200臺(tái)受感染機(jī)器組成，然而在幕后它支配著強(qiáng)大的“軍火庫”。根據(jù)該攻擊的有限范圍，人們相信它是國(guó)家級(jí)別所驅(qū)動(dòng)的電子間諜活動(dòng)，能夠讓該僵尸網(wǎng)絡(luò)的操縱者隱秘地對(duì)受害者進(jìn)行竊聽、偷竊數(shù)據(jù)并且捕獲視頻多年之久。

相比之下，更大規(guī)模的僵尸網(wǎng)絡(luò)讓電子罪犯?jìng)兛梢岳檬芨腥居?jì)算機(jī)計(jì)算能力，傳播惡意軟件以及執(zhí)行其它惡意活動(dòng)。它們可能被用于加強(qiáng)拒絕服務(wù)攻擊來摧毀web站點(diǎn)、或是快速傳播惡意軟件并竊取帳戶的憑證信息。

感染Zeus和SpyEye系列惡意軟件的機(jī)器組成了大規(guī)模的僵尸網(wǎng)絡(luò)，多年來對(duì)金融行業(yè)造成了極大的破壞。由于網(wǎng)絡(luò)罪犯在惡意軟件后建立的業(yè)務(wù)模式，這些僵尸網(wǎng)絡(luò)迅速地傳播。使用自動(dòng)化的攻擊軟件套件，罪犯?jìng)兘⒘艘粋€(gè)附屬網(wǎng)絡(luò)，獎(jiǎng)賞其他感染機(jī)器的罪犯。Zeus木馬在2006年聲名狼藉。該惡意軟件可以編碼來偽裝web站點(diǎn)、竊取帳戶憑證并且耗光其銀行帳號(hào)的金錢。安全公司通過中斷與其有相關(guān)的“命令與控制”服務(wù)器，一直在努力搗毀該僵尸網(wǎng)絡(luò)。但是盡管付出這些努力，罪犯用內(nèi)置的機(jī)制把這些服務(wù)器重新恢復(fù)上線。最近的微軟采取法律行動(dòng)來徹底摧毀位于美國(guó)的Zeus僵尸網(wǎng)絡(luò)服務(wù)器。

偵測(cè)：人為因素

沒有比指派一名技能熟練的IT專業(yè)人員來尋找公司網(wǎng)絡(luò)異常更好的技術(shù)，SANS研究院的首席研究官Johannes Ullrich表示。技能熟練的系統(tǒng)管理員應(yīng)該檢查網(wǎng)絡(luò)流量和系統(tǒng)日志，在標(biāo)識(shí)出的潛在問題以進(jìn)行深入調(diào)查時(shí)應(yīng)用創(chuàng)新的思路。數(shù)據(jù)包分析器以及其它過濾工具可以幫助網(wǎng)絡(luò)安全人員判斷是否可疑的流量實(shí)質(zhì)上是惡意的。“許多企業(yè)仍然依賴過時(shí)、基于簽名的防病毒軟件。但是針對(duì)性攻擊以及此類的僵尸網(wǎng)絡(luò)應(yīng)該依靠專業(yè)人員”。

許多企業(yè)將網(wǎng)絡(luò)監(jiān)控活動(dòng)外包已經(jīng)成為趨勢(shì)，但是Ullrich表示從他的經(jīng)驗(yàn)來看，外包的安全監(jiān)控通常無法偵測(cè)到最為重要的針對(duì)性攻擊和僵尸網(wǎng)絡(luò)感染。外包的服務(wù)遵循一個(gè)檢查列表，每個(gè)小時(shí)要處理許多具體的請(qǐng)求，如果外包的服務(wù)是幫助系統(tǒng)管理員“發(fā)現(xiàn)下一個(gè)新的問題而不是昨天的僵尸機(jī)器”會(huì)更佳。“他們沒有真正地理解業(yè)務(wù)，所以也就是為什么一些企業(yè)花重金把監(jiān)控工作重新交由內(nèi)部負(fù)責(zé)。”

終端安全結(jié)合基于網(wǎng)絡(luò)的安全技術(shù)、如主機(jī)入侵防御以及其它的基于信任度和過濾的系統(tǒng)能夠幫助緩解惡意軟件感染情況，Securosis LLC公司的總裁兼分析師Mike Rothman表示，該公司是一家位于亞利桑那州鳳凰城的安全研究公司。最近該公司總結(jié)它的惡意軟件偵測(cè)系列研究，該研究關(guān)注于為什么偵測(cè)是如此具有挑戰(zhàn)性。

網(wǎng)絡(luò)安全設(shè)備可以提供應(yīng)用場(chǎng)景和用戶行為，但是它需要調(diào)整來避免對(duì)終端用戶造成嚴(yán)重的影響，Rothman在一篇描述該公司研究成果的博客中表示。這對(duì)于Web過濾和基于信任度的技術(shù)來說同樣存在。“我們需要在充分的安全和不要過于干擾用戶之間找到平衡，引導(dǎo)對(duì)掌握設(shè)備和控制設(shè)備的限制，讓設(shè)備在任何位置和網(wǎng)絡(luò)連接中都可用。