雖然目前還沒有一套簡單自動的檢測方案能夠確切診斷感染狀況的存在，但我們可以從以下幾種典型癥狀入手：系統(tǒng)運(yùn)行速度比正常情況慢;硬盤驅(qū)動器LED燈在空閑模式下仍然不停閃爍;文件與文件夾突然消失，或者以某種方式發(fā)生改變;朋友或同事提醒用戶稱他們收到了由其發(fā)送的垃圾郵件;計算機(jī)上的防火墻通知用戶有程序正在試圖訪問互聯(lián)網(wǎng);某個從互聯(lián)網(wǎng)上下載的程序突然出現(xiàn)運(yùn)行圖標(biāo)消失現(xiàn)象，彈出的報錯信息明顯多于以往;網(wǎng)上銀行突然要求用戶提供此前從未索取過的個人信息。

了解僵尸網(wǎng)絡(luò)的運(yùn)作機(jī)制是成功幫助系統(tǒng)抵御僵尸網(wǎng)絡(luò)攻擊的良好開端。除了學(xué)習(xí)之外，用戶在防護(hù)方面需要做好的另一件要事，是要保證自己使用的所有軟件都來自合法及可信來源，而且需要進(jìn)一步為所有應(yīng)用程序安裝最新安全補(bǔ)丁。在瀏覽網(wǎng)絡(luò)內(nèi)容時使用過時的互聯(lián)網(wǎng)瀏覽器，或者使用AdobeFlash或甲骨文Java等未及時更新的插件，相當(dāng)于自己提升了安全風(fēng)險。許多企業(yè)都提供了足以在功能豐富程度上與著名殺毒廠商看齊的免費(fèi)版本。因此在設(shè)備中安裝殺毒軟件套件，且保持更新是必須的，同時還要養(yǎng)成定期進(jìn)行全盤系統(tǒng)掃描的良好習(xí)慣，堅持使用一套殺毒軟件。而同時使用多種殺毒方案可能會給系統(tǒng)造成意外損害，要使用個人防火墻程序并利用警報機(jī)制在程序試圖連接互聯(lián)網(wǎng)時向我們發(fā)出提示。

為了防止數(shù)據(jù)收集軟件的窺探，目前銀行等機(jī)構(gòu)實(shí)現(xiàn)敏感或受監(jiān)管數(shù)據(jù)遠(yuǎn)程訪問的主要方案之一在于雙因子驗(yàn)證機(jī)制。所謂雙因子，是指用戶知道的信息與用戶具有的信息：用戶知道的信息包括標(biāo)準(zhǔn)的登錄名與密碼。用戶具有的信息，即由密鑰卡(也稱為硬件安全令牌)或者手機(jī)等設(shè)備生成的一次性動態(tài)密碼。

雙因子認(rèn)證也不保萬全

然而，僵尸網(wǎng)絡(luò)的組織者們針對這套方案推出了應(yīng)對機(jī)制，也就是瀏覽器中間人(簡稱MitB)攻擊。在MitB攻擊當(dāng)中，惡意軟件會偽裝成從表面上看與合法網(wǎng)絡(luò)站點(diǎn)毫無區(qū)別的銀行網(wǎng)站。用戶一旦訪問這些欺詐性網(wǎng)站，必然會向其提供必要的安全登錄資料，包括雙因子身份驗(yàn)證過程中產(chǎn)生的動態(tài)密碼。只要信息輸入完成，欺詐性網(wǎng)站會立即將信息轉(zhuǎn)發(fā)至真正的銀行站點(diǎn)，再由組織者接手對受害者賬戶進(jìn)行訪問。

另一種常見的MitB攻擊方式則暗中通過受害者的瀏覽器將附加字段注入到銀行的登錄頁面中，這些附加字段會在登錄過程中要求用戶輸入比通常情況下更詳細(xì)的個人信息。例如母親的姓名、出生城市等等。有了這些細(xì)節(jié)資料，僵尸網(wǎng)絡(luò)組織者將可以堂而皇之地致電銀行，索取用戶個人資料，并直接對受害賬戶加以訪問。

值得慶幸的是，目前銀行已經(jīng)部署了大量復(fù)雜的算法，有助于識別賬戶內(nèi)部的欺詐活動。當(dāng)惡意活動出現(xiàn)時，銀行方面往往會立即提醒受害者核查賬戶的可疑操作。然而一旦組織者成功實(shí)施了MitB攻擊，他們通常會首先將個人信息中的“聯(lián)系電話”設(shè)定為VoIP號碼并轉(zhuǎn)接到自己這邊。如此一來，當(dāng)銀行在撥打用戶電話時，實(shí)際撥通的是組織者的號碼。這個時候惡意人士就可以為所欲為了，甚至直接通過海外電匯將受害者的資金轉(zhuǎn)到境外賬戶。

另一種關(guān)注程度不高的僵尸網(wǎng)絡(luò)影響在于對機(jī)密信息及知識產(chǎn)權(quán)資料的竊取。目前已經(jīng)有僵尸網(wǎng)絡(luò)嘗試通過有針對性的電子郵件在企業(yè)或政府機(jī)構(gòu)的特殊用戶系統(tǒng)中安裝后門。一旦企業(yè)網(wǎng)絡(luò)被這種魚叉式網(wǎng)絡(luò)釣魚攻擊所滲透，組織者將悄無聲息地對受害者個人計算機(jī)及其能夠訪問的共享網(wǎng)絡(luò)驅(qū)動器加以搜索，試圖尋找技術(shù)圖紙、源代碼、投標(biāo)報價文件、客戶名單，以及內(nèi)部電子郵件等敏感數(shù)據(jù)。#p#

金錢：僵尸網(wǎng)絡(luò)最主要動機(jī)

軟件開發(fā)者之所以會創(chuàng)造出這樣復(fù)雜的惡意軟件，自然是看中了僵尸網(wǎng)絡(luò)強(qiáng)大的贏利能力，而且其創(chuàng)建與維護(hù)方面的風(fēng)險也相當(dāng)之低。由于互聯(lián)網(wǎng)的全球化特性，以及僵尸網(wǎng)絡(luò)組織者出色的隱藏能力，我們很難揪出這些犯罪分子，更別說逮捕或?qū)λ麄兲崞鹪V訟。

僵尸網(wǎng)絡(luò)組織者通過出租方式將自己的成品方案交給有意進(jìn)行拒絕服務(wù)攻擊的客戶，由此帶來的經(jīng)濟(jì)收益每天可高達(dá)數(shù)千美元。組織者甚至想出了將僵尸網(wǎng)絡(luò)體系進(jìn)一步劃分為更小群組的方法，旨在同時針對多個站點(diǎn)發(fā)起多輪攻擊。對于小型網(wǎng)站而言，一般由幾百臺僵尸設(shè)備構(gòu)成的體系即可使其陷入癱瘓。而在大型網(wǎng)站方面，則往往需要成千上萬臺設(shè)備聯(lián)手協(xié)作。根據(jù)攻擊規(guī)模的不同，組織者能夠通過調(diào)整，最大限度地提高資金收入。卡巴斯基實(shí)驗(yàn)室發(fā)布的一項研究結(jié)果表明，僅在2008年僵尸網(wǎng)絡(luò)持有者通過DDoS攻擊所獲得的收入總額就高達(dá)兩千萬美元之巨。

另外，出售從受害者處搜集到的個人信息也能成為收入來源。根據(jù)賬戶類型的不同，每個用戶賬戶平均能賣到5到15美元。這些賬戶通常會被匯總在大的資料包中，批量出售給有意從事經(jīng)濟(jì)詐騙的惡意人士。對于那些打算通過垃圾郵件竊取更多信息的犯罪分子來說，電子郵件地址也成為理想的交易對象——目前一萬個電子郵件地址的售價在20到100美元之間。僵尸網(wǎng)絡(luò)持有者自己也提供垃圾郵件發(fā)送服務(wù)，當(dāng)下每兩萬封電子郵件的發(fā)送費(fèi)用約為40美元。事實(shí)上，某些僵尸網(wǎng)絡(luò)在一天之內(nèi)就能發(fā)送上千萬封垃圾郵件，大家可以算算他們的實(shí)際經(jīng)濟(jì)收入何等可觀。搜索引擎優(yōu)化感染的單位價格更高，每兩萬個垃圾鏈接、文章或評論的收費(fèi)就是80美元。

按點(diǎn)擊收費(fèi)領(lǐng)域的欺詐行為又是另一種賺錢的好途徑。根據(jù)微軟研究院發(fā)布的一項調(diào)查，目前每季度所有在線廣告點(diǎn)擊中約有四分之一來自欺詐性操作。ClickForensics網(wǎng)站則認(rèn)為有17%的廣告點(diǎn)擊源自欺詐活動，其中約有三分之一直接由僵尸網(wǎng)絡(luò)實(shí)現(xiàn)。基于在線廣告支出總額，我們可以計算出點(diǎn)擊欺詐行為每年給僵尸網(wǎng)絡(luò)持有者們帶來總計上千萬美元的收入。

比特幣的出現(xiàn)為僵尸網(wǎng)絡(luò)組織者開辟了一條賺錢的新路，盡管收益不高但卻相當(dāng)簡單、穩(wěn)定，且完全是筆外財。通過安裝非法軟件，組織者將在僵尸成員們的辛勤勞作下源源不斷地獲得比特幣。

最重要的是，上述贏利機(jī)制彼此之間并不矛盾——“聰明勤勞”的僵尸網(wǎng)絡(luò)運(yùn)營者能夠利用被感染的計算機(jī)，同時從事其中大多數(shù)甚至全部贏利方案。#p#

惡意軟件背后的從業(yè)者

如今的網(wǎng)絡(luò)犯罪活動已經(jīng)進(jìn)入組織化、集團(tuán)化模式，與合法企業(yè)一樣追求運(yùn)營效率最大化。正如FortiGuard在2013年犯罪軟件報告中的結(jié)論，這些犯罪組織擁有完善且為我們所熟悉的結(jié)構(gòu)體系：高層管理者，中層管理人員，最后是苦工分別負(fù)責(zé)具體工作以及資金轉(zhuǎn)移。

僵尸網(wǎng)絡(luò)開發(fā)者絕不會在完成了網(wǎng)絡(luò)部署后就沉浸在成功的喜悅中而是努力想辦法改善自己的技術(shù)成果，使其更難被檢測并移除。另外，他們也在不斷尋求新的賺錢途徑，希望讓受感染的設(shè)備能為自己帶來更可觀的收入。通過將命令服務(wù)器隱藏在多層代理服務(wù)器之后，加密通信機(jī)制甚至完全脫離傳統(tǒng)客戶端-服務(wù)器方案而轉(zhuǎn)向點(diǎn)對點(diǎn)結(jié)構(gòu)等創(chuàng)新型策略，他們不斷用自己的“聰明才智”將反惡意軟件及威脅的研究帶向新的高度。#p#

僵尸網(wǎng)絡(luò)越來越廉價

僵尸網(wǎng)絡(luò)曾經(jīng)是個圈子有限、對技術(shù)水平要求很高的領(lǐng)域。但時至今日，創(chuàng)建僵尸網(wǎng)絡(luò)的起步成本已經(jīng)幾乎為零。舉例來說，2011年5月臭名昭著的Zeus僵尸網(wǎng)絡(luò)源代碼被泄露到網(wǎng)上，任何愿意花點(diǎn)時間搜尋互聯(lián)網(wǎng)資源的訪問者，都能在某些藏得較深的角落里找到軟件拷貝，且只需稍加修改就能打造自己的僵尸網(wǎng)絡(luò)體系。2012年12月，賽門鐵克公司發(fā)現(xiàn)了一名犯罪分子，這家伙愿意以250美元的價格幫助技術(shù)水平不高的用戶完成Zeus的全面安裝。

更具專業(yè)性的僵尸網(wǎng)絡(luò)服務(wù)每個月則需要花費(fèi)數(shù)千美元的代理運(yùn)營成本，但專業(yè)服務(wù)通常包含受感染計算機(jī)網(wǎng)絡(luò)訪問，以及全天候技術(shù)支持等高端項目。

如果某個有理想、有抱負(fù)，但卻缺乏編程知識的家伙希望設(shè)置并部署屬于自己的僵尸網(wǎng)絡(luò)，那么時至今日成熟的服務(wù)體系將會圓滿實(shí)現(xiàn)其犯罪渴望，或者按他們自己的說法叫“創(chuàng)業(yè)意愿”。舉例來說，協(xié)助客戶建立僵尸網(wǎng)絡(luò)的咨詢類服務(wù)一般只需350到400美元。

一旦體系建成，僵尸網(wǎng)絡(luò)軟件需要通過不斷傳播來最終轉(zhuǎn)化為完全成熟的犯罪體系。目前已經(jīng)有一些網(wǎng)站聯(lián)盟推出了按安裝數(shù)量計費(fèi)(簡稱PPI)的網(wǎng)絡(luò)擴(kuò)散模式，幫助客戶迅速將自己的木馬傳播出去，從而建立規(guī)模的僵尸網(wǎng)絡(luò)。這類惡意聯(lián)盟需要的信息很簡單：第一，客戶需要感染多少套系統(tǒng)。第二，由客戶提供相應(yīng)的僵尸網(wǎng)絡(luò)軟件。除此之外，他們將打理剩下的一切事務(wù)。再來看令人怦然心動的實(shí)惠價格——每一千次安裝僅收費(fèi)100美元。其承接的服務(wù)目標(biāo)區(qū)域也相當(dāng)廣泛，無論是北美、歐洲還是澳大利亞都沒問題，不過在亞洲及東歐的計費(fèi)標(biāo)準(zhǔn)會更高一些。

一般來說，租賃僵尸網(wǎng)絡(luò)來實(shí)施拒絕服務(wù)攻擊的價格為535美元，涵蓋時間為一周、每天五小時。發(fā)送兩萬封垃圾郵件的費(fèi)用為40美元，在論壇及評論中發(fā)布垃圾信息的費(fèi)用則為每30條2美元。#p#

如何阻止僵尸網(wǎng)絡(luò)的擴(kuò)散

盡管僵尸網(wǎng)絡(luò)持有者們似乎占盡了上風(fēng)，但如今我們也已經(jīng)擁有多種手段足以與之相抗衡。微軟等主流企業(yè)紛紛轉(zhuǎn)向法律制度，希望針對僵尸網(wǎng)絡(luò)持有者制定司法議案來對其進(jìn)行起訴。過去我們無法控告一個連真實(shí)姓名都不了解的對象，但在新的議案中，無論是網(wǎng)絡(luò)昵稱還是“匿名者”都可以成為犯罪嫌疑人。最近域名登記服務(wù)的嚴(yán)格管控已經(jīng)初見成效，原本可被僵尸網(wǎng)絡(luò)持有者用于創(chuàng)建數(shù)千域名，以保證C&C基礎(chǔ)設(shè)施正常起效的寬松機(jī)制已經(jīng)逐漸收緊。

如果一位研究人員能夠通過逆向工程的方式解析服務(wù)器列表生成所使用的算法，就完全有可能幫助反僵尸網(wǎng)絡(luò)機(jī)構(gòu)提前注冊這些域名，從而以阻斷C&C服務(wù)器的方式控制住僵尸網(wǎng)絡(luò)。這項技術(shù)通常被稱為“sinkholing”，能夠非常有效地減緩，甚至消除僵尸網(wǎng)絡(luò)的負(fù)面影響，尤其是在惡意軟件與安裝或卸載程序整合時效果更好。Sinkholing技術(shù)同時也是研究人員了解僵尸網(wǎng)絡(luò)的理想工具，它能夠粗略估算僵尸網(wǎng)絡(luò)的實(shí)際規(guī)模、受感染終端如何與組織者進(jìn)行通信，甚至在某些情況下揭開持有者所處位置或身份等秘密。

計算機(jī)應(yīng)急響應(yīng)小組(簡稱CERT)同樣在努力幫助我們扼制僵尸網(wǎng)絡(luò)的蔓延。許多國家的學(xué)術(shù)機(jī)構(gòu)及企業(yè)都擁有自己的CERT組織，而且這些團(tuán)隊往往樂于在彼此之間共享信息。當(dāng)多方面都希望阻止同一項網(wǎng)絡(luò)犯罪活動時，各CERT組織通常會以帶頭人的身份參與進(jìn)來，起到至關(guān)重要的指揮與調(diào)度作用。未來可能將有更多公共及民間團(tuán)隊開展國際化合作，通過加大域名注冊機(jī)制監(jiān)控力度的方式，阻止僵尸網(wǎng)絡(luò)擴(kuò)散，從而更迅速地對這類威脅做出響應(yīng)。#p#

僵尸網(wǎng)絡(luò)如何演變

以智能手機(jī)與平板設(shè)備為代表的移動終端已經(jīng)無處不在。隨著移動趨勢浪潮的洶涌襲來，訪問網(wǎng)絡(luò)的設(shè)備數(shù)量激增，但同時大量出現(xiàn)的還有移動惡意軟件。移動設(shè)備已經(jīng)成為很多僵尸網(wǎng)絡(luò)開發(fā)者的首選目標(biāo)，相信在不久的將來，我們會看到利用移動設(shè)備成功實(shí)現(xiàn)此類資金營收的嘗試。到那個時候，短信收費(fèi)欺詐，以及勒索軟件必然引發(fā)新一輪威脅狂潮，同時成為犯罪分子們的又一吸金法寶。

FortiGuard實(shí)驗(yàn)室還發(fā)現(xiàn)了另一個有趣的現(xiàn)象，即在過去一年中，很多個人會自愿在設(shè)備上安裝惡意代碼，使自己成為僵尸網(wǎng)絡(luò)中的一部分。以“匿名者”為代表的黑客組織會向其程序員群體提供工具，并統(tǒng)一下達(dá)命令，針對企業(yè)、政府或者其他機(jī)構(gòu)發(fā)起出于政治目的的猛烈攻擊?？傮w來說，這類自愿參與的情況往往仍被視為惡意活動，而且由于很多人對需要表達(dá)特定訴求的困苦群體充滿同情，因此這類示威型攻擊短時間內(nèi)很難消除。

從向互聯(lián)網(wǎng)用戶發(fā)送垃圾郵件到竊取金錢，再到刺探政府機(jī)密，僵尸網(wǎng)絡(luò)已經(jīng)給互聯(lián)網(wǎng)乃至全球經(jīng)濟(jì)帶來巨大影響。僵尸網(wǎng)絡(luò)的運(yùn)營者們神出鬼沒，難以定位，不易防范，甚至幾乎沒辦法對其提出訴訟。而互聯(lián)網(wǎng)的匿名性以及不同國家之間政策的差異性也使得網(wǎng)絡(luò)犯罪分子的活動風(fēng)險極低，但回報卻非?？捎^。只有全球安全組織與各個國家齊心協(xié)力、團(tuán)結(jié)合作、迅速響應(yīng)，才能真正與僵尸網(wǎng)絡(luò)及其創(chuàng)造者們相抗衡。

本文節(jié)選自FortiGuard全球安全威脅與響應(yīng)實(shí)驗(yàn)室2013僵尸網(wǎng)絡(luò)研究報告。