近期發(fā)生了三起較有影響力的，業(yè)界聯(lián)手打擊僵尸網(wǎng)絡(luò)的事件。

一是歐美執(zhí)法部門聯(lián)合安全企業(yè)關(guān)閉了了辛巴達(dá)僵尸網(wǎng)絡(luò)的14臺命令控制服務(wù)器。該僵尸網(wǎng)絡(luò)半年業(yè)感染了全世界190國家的77萬臺計算機(jī)。

二是英特爾安全、卡巴斯基以及歐洲和美國的執(zhí)法機(jī)構(gòu)聯(lián)合打掉了已經(jīng)存在6年的擁有3.5萬臺肉機(jī)的僵尸網(wǎng)絡(luò)“蜂骨”(Beebone)。

三是國際電信巨頭Level 3與思科直接把“SSH精神病”(Psychos)關(guān)進(jìn)了黑洞。

但不幸的是，僵尸不死。

[[132651]]

9個月前，Akamai威脅研究小組在其博客上記錄了一個僵尸網(wǎng)絡(luò)的技術(shù)細(xì)節(jié)。這個僵尸網(wǎng)絡(luò)利用Joomla內(nèi)容編輯器插件的一個已知漏洞，上傳未授權(quán)的惡意文件。九個月后，研究小組還在繼續(xù)觀察這個僵尸網(wǎng)絡(luò)。

你也許認(rèn)為作為一個有逼格的僵尸大人，本該默默地在黑暗世界游走，但卻被安全博客披露的體無完膚，應(yīng)該無法再在這個圈子里混了。但恰恰相反，它不僅沒有逐漸銷聲匿跡，反而還繼續(xù)進(jìn)化，侵蝕到了其他的內(nèi)容管理系統(tǒng)，比如WordPress。

那么，我們就只能看著這個毫不尊重互聯(lián)網(wǎng)秩序的惡棍繼續(xù)地肆無忌憚?僵尸的確不死，但那是在電影、電視上，互聯(lián)網(wǎng)上的僵尸會永生么?

僵尸概覽

這個僵尸網(wǎng)絡(luò)包含1037個肉機(jī)，均為互聯(lián)網(wǎng)上公開的網(wǎng)頁服務(wù)器，絕大部分運行著Joomla和WordPress。

盡管它算不上一只大型僵尸，但仍然能給如今的網(wǎng)絡(luò)環(huán)境帶來不小的威脅。從DDoS攻擊，到數(shù)據(jù)盜竊，再到網(wǎng)站掛馬、惡意鏈接，掃描網(wǎng)絡(luò)尋找肉機(jī)，進(jìn)一步擴(kuò)大感染。它使用分布式技術(shù)針對7800種網(wǎng)頁應(yīng)用程序，以盡可能多的找到有漏洞的網(wǎng)站內(nèi)容管理系統(tǒng)。

通過對這只僵尸的分析，發(fā)現(xiàn)以下幾點主要特征：

1.不停的活動

盡管它的活動程度在下降，但它并沒有死掉，每天平均都有50臺肉機(jī)處于活動中。

2.隨著時間增長

有趣的是，雖然觀察到它的活動程度在下降，可是它實際上還在不斷的捕獲新的肉機(jī)，增加自己的體量。平均每天約有11臺肉機(jī)加入進(jìn)來，即每個月360臺。

3.肉機(jī)的活動時間

基于Joomla的肉機(jī)平均是29天，其他網(wǎng)站平臺的服務(wù)器是10天。原因未知，但懷疑與Joomla漏洞的大規(guī)模利用有關(guān)。

4.JCE漏洞之外

除了JCE，還發(fā)現(xiàn)其他的平臺及其相關(guān)漏洞也是該僵尸網(wǎng)絡(luò)的對象：

· WordPressr圖片尺寸重設(shè)模塊TimThumb中的遠(yuǎn)程文件包含(RFI)漏洞

· Open Flash Chart庫的遠(yuǎn)程代碼執(zhí)行(RCE)漏洞

5.肉機(jī)壽命

9個月之前的肉機(jī)中，還有43臺機(jī)器還在進(jìn)行惡意活動。這么長的生存時間不得不令人驚訝，因為現(xiàn)在的環(huán)境非常不利用肉機(jī)生存。如：

a) 該僵尸針對一個已曝光3年的漏洞，含有此漏洞的服務(wù)器應(yīng)該都已經(jīng)升級了;

b) 對該漏洞的利用已經(jīng)廣為人知，況且這也不是第一個JCE漏洞;

c) 該僵尸網(wǎng)絡(luò)的活動非常明顯，毫不諱人，攻擊許多網(wǎng)站應(yīng)用程序，因而很容易被檢測到。

6.肉機(jī)上的后門

發(fā)現(xiàn)某些肉機(jī)上有安裝后門的跡象，這些后門可以遠(yuǎn)程控制肉機(jī)，完全的擁有這臺機(jī)器。后門的操縱者可以盜取肉機(jī)用戶的金融和個人信息，并發(fā)動針對其他服務(wù)器的各種攻擊。

總結(jié)

很不幸，僵尸網(wǎng)絡(luò)的故事無法終結(jié)。

僅僅對僵尸網(wǎng)絡(luò)和它的伎倆進(jìn)行曝光，是無法阻止它的。而且，即使屏蔽掉它控制著的每一臺肉機(jī)也稱不上是非常有效的方法，因為它繁衍的更快。我們需要另外的解決方案。

一種方案是通過基于信譽的系統(tǒng)監(jiān)控所有的攻擊源，從而令安全操作人員能夠依據(jù)過去行為和行為分類來評估新出現(xiàn)的威脅。通過對網(wǎng)絡(luò)流量各因素的處理，如攻擊者的持續(xù)性，攻擊目標(biāo)程序的數(shù)量，攻擊程度和造成的嚴(yán)重性，給其打分，以預(yù)測攻擊源的下一步行動或意圖，然后預(yù)先采取行動。

另一種方案則是本文開始的“SSH精神病”，找到攻擊源后直接從電信運營商級別把攻擊流量扔進(jìn)黑洞。

但這兩種方案并不容易實現(xiàn)，首先信譽系統(tǒng)的建立和統(tǒng)一就是一個非常麻煩的事情。而直接與電信運營商合作，則關(guān)乎法律問題，更何況不是每個安全廠商都能夠方便自由的與電信聯(lián)合一起打僵尸的。

僵尸網(wǎng)絡(luò)利用的是漏洞，只要它咬上你一口，你便成為其中一份子，然后自動尋找下一個受害者。無論怎樣，它都會永遠(yuǎn)繼續(xù)下去。除非它咬不到人，也就意味著一個沒有漏洞的互聯(lián)網(wǎng)。

很明顯，這是不可能的。

最新消息

2007年出現(xiàn)的“推動”(Pushdo)僵尸網(wǎng)絡(luò)，在承受了四次打擊圍剿之后，隨著一個最新的版本又重生了。目前，該僵尸網(wǎng)絡(luò)的感染范圍已到50個國家。