既然大多數(shù)的企業(yè)網(wǎng)絡(luò)中都部署了防火墻、IPS等安全防護設(shè)備，內(nèi)網(wǎng)主機又是怎樣被控制的呢?在本文中，我們將會介紹僵尸網(wǎng)絡(luò)是如何回避安全檢測，以及當(dāng)主機被感染，成為僵尸網(wǎng)絡(luò)的一部分之后存在的隱患。

僵尸網(wǎng)絡(luò)巧妙躲避檢測

在IT人士中存在一種常見的認識誤區(qū)，即惡意代碼只有與外部命令及控制(簡稱C&C)服務(wù)器相連通，方可成功執(zhí)行。而以IPS及其他反惡意軟件為代表的現(xiàn)有網(wǎng)絡(luò)安全工具完全可以阻斷這種連接。

事實上，僵尸網(wǎng)絡(luò)能夠采用一系列技術(shù)回避現(xiàn)有安全檢測，以及對組織者C&C服務(wù)器訪問的阻斷。最典型的做法是制訂一份IP地址列表，在需要時逐一對其中的選項加以嘗試。如果第一條地址未能響應(yīng)，惡意代碼將繼續(xù)聯(lián)系列表中的第二條地址，直到發(fā)現(xiàn)可用的C&C服務(wù)器。

很多更為先進的僵尸網(wǎng)絡(luò)還會利用域名生成算法(簡稱DGA)，以及Fast-flux來確保惡意代碼始終能與C&C服務(wù)器保持互通。DGA是一種用于惡意軟件生成C&C服務(wù)器地址的方法。利用這種專有算法，惡意軟件能夠隨時從浩如煙海的域名中識別出看似隨機的服務(wù)器地址。所有僵尸網(wǎng)絡(luò)組織者都需要提前一到兩天注冊新的隨機域名，并創(chuàng)建相應(yīng)DNS記錄，以此將新地址指向固定C&C服務(wù)器。

Fast-flux在具體實施過程中有所不同，但總體思路與DGA還是比較相似：通過修改DNS記錄，僵尸網(wǎng)絡(luò)組織者會為惡意代碼嘗試連接的域名指定多個IP地址。通過定期變更這些記錄，組織者能夠確保自己的C&C服務(wù)器始終領(lǐng)先于任何嘗試將其關(guān)閉的監(jiān)管機制。組織者通常會將上述兩套方案同時納入自己的僵尸網(wǎng)絡(luò)，借以幫助自己的僵尸主機順利找到“回家的路”。

受感染后隱私難保

在惡意程序安裝到主機之后，其通常會開設(shè)一道所謂的“后門”，或者允許僵尸網(wǎng)絡(luò)組織者隨意訪問、控制，并在受感染計算機上安裝軟件的程序。一旦安裝完成，我們很難將后門關(guān)閉。被感染的計算機即使下載了最新的安全補丁或反惡意軟件更新也無能為力。惡意軟件通常會嘗試與僵尸網(wǎng)絡(luò)組織者發(fā)起通信，以確認感染成功。受感染的計算機會偷偷發(fā)送大量重要信息，其中包括被感染計算機的IP地址(這有助于組織者確認受害者的實際地理位置)、計算機系統(tǒng)登錄名、操作系統(tǒng)類型，以及已經(jīng)安裝了哪些補丁等等。

在惡意內(nèi)容與組織者建立起聯(lián)系之后，接下來的情況則多種多樣：組織者可以發(fā)送新的惡意軟件版本，并在安裝運行后指示惡意代碼如何以特定模式發(fā)掘受害者信息。比如嘗試登錄網(wǎng)上銀行賬戶等等。僵尸網(wǎng)絡(luò)還能執(zhí)行其他一些指令，包括記錄網(wǎng)絡(luò)活動、發(fā)送垃圾郵件、參與拒絕服務(wù)攻擊、在受感染的系統(tǒng)中安裝其他惡意軟件。令人哭笑不得的是，僵尸網(wǎng)絡(luò)組織者之間的競爭正日趨白熱化，惡意代碼的編寫者們往往需要檢測受害者的設(shè)備中是否已經(jīng)受到其他競爭對手的感染，并將其從用戶的系統(tǒng)中卸載掉。

組織拒絕服務(wù)攻擊、進行垃圾郵件中繼轉(zhuǎn)發(fā)，以及感染搜索引擎還只是僵尸網(wǎng)絡(luò)組織者所擁有“甜頭”中的一部分。這些黑客還可以通過在設(shè)備中安裝惡意軟件來搜集個人信息、網(wǎng)上銀行驗證資料或者企業(yè)機密。

這類惡意軟件中的代表就是臭名昭著的“鍵盤記錄器”，俗稱鍵盤鉤子。鍵盤記錄器會監(jiān)視并記錄下用戶進行的每一次鍵盤操作，然后以特定周期將匯總數(shù)據(jù)發(fā)送給組織者。通過這種方式，組織者將逐步獲得受害者的用戶名、真實姓名、密碼、出生日期、社保號碼、電子郵件賬戶信息、銀行賬戶號碼，以及電話號碼等等。

注：本文節(jié)選自Fortinet僵尸網(wǎng)絡(luò)分析報告2013