背景资料
僵尸网络拥有多种传播方式。攻击者可以扫描网络中所有的计算机,寻找系统中的软件漏洞来植入僵尸程序。此外,僵尸程序还会试图破解计算机密码来获取系统权限,部分较为简单的系统默认密码极容易遭到攻破。不仅如此,僵尸程序还会通过发送大量病毒邮件传播,通过一系列社会工程学技巧诱使接收者执行附件或点击链接,从而使接收者主机被感染成为僵尸计算机。僵尸网络一旦建立,便会开始窃取用户的个人隐私、财产信息甚至于关键的机密情报。僵尸计算机还能够在社交网络中转发信息,为谣言的传播推波助澜。除此之外,某些攻击者还会经由僵尸网络向第三方服务器发动大规模流量攻击,致使部分关键网络服务瘫痪。
目前,僵尸网络与蠕虫病毒(一种能够自行复制并传播的计算机病毒,著名的比特币勒索病毒WannaCry和NotPetya就属于蠕虫病毒)并称为传播恶意软件最为有效的两大手段。这两种手段不仅传播速度极快,还有着极强的隐蔽性——攻击者往往会隐藏在数以万计无辜的僵尸主机当中,使旁人根本无法探明自己真正的所在地。
僵尸网络的掌控着(有时被称为“僵尸牧人”)通常会通过多组控制服务器对僵尸主机进行集中指挥,期间所有的通讯数据均通过加密网络传输。
黑客们往往会以低廉的价格将僵尸网络出租给其他不法分子。例如,出现于2002年左右的Coreflood僵尸网络最初被用于开展分布式拒绝服务攻击(DDos)。但随着时间的推移,Coreflood逐渐发展成为黑市中明码标价的一种“服务产品”,任何不法分子都可以购买到这种僵尸网络,将自己的真实身份隐藏在全世界数以万计的IP地址中,以便于进行犯罪活动。2008年Coreflood再次改头换面,变成了窃取安全证书并开展银行诈骗的工具,许多受害者的账户因此被洗劫一空。
严峻形势
僵尸网络不仅是网络犯罪分子手中的工具,还可能被用来窃取政府机密,甚至还有可能参与到网络战与信息战当中。近年来,僵尸网络已经成为部分“邪恶”国家资助下的网络活动的中心环节。
庞大的规模,极快的传播速度以及高度隐蔽的特性使僵尸网络成为了一项有效的间谍工具。一个名为GamerOver Zeus僵尸网络就是其中的典范。据称,这个庞大的网络由臭名昭著的俄罗斯网络犯罪分子Evgeniy Bogachev建立,共计感染入侵了50至100万台电脑,Bogachev通常利用该僵尸网络盗窃银行账户。但是有报道称,俄罗斯联邦安全局(FSB)的情报人员同样拥有这一网络的访问权限,他们会在被感染的计算机中搜索敏感信息。据报道,这些信息包括从土耳其流向叙利亚反叛分子的美国军火情况,以及乌克兰情报局(SBU)的最高机密文件。2014年6月,GameOver Zeus僵尸网络最终在多国机构的联合执法下被捣毁。
除此之外,僵尸网络还能对关键的网络服务造成破坏。2007年,俄罗斯黑客利用僵尸网络对位于爱沙尼亚的目标发动了大规模DDoS攻击。2008年,在俄罗斯向格鲁吉亚发起军事行动的同一时间,大规模的僵尸网络DDoS攻击也在网络世界中上演。2014年,俄罗斯再次故技重施,成功吞并了克里米亚地区。此外,伊朗曾于2011至2013年间资助国内黑客通过Brobot僵尸网络,对美国金融机构的服务器开展大规模流量攻击。朝鲜也曾使用DeltaCharlie僵尸网络对公共基础设施发动DDoS攻击。
一个名为Mirai僵尸网络组织发动了迄今为止规模最大的DDoS攻击(这一僵尸网络背后是否有国家资助目前尚不能确定),2016年10月,域名服务提供商Dyn也受到这起攻击的波及,美国整个东海岸的互联网服务因此陷入瘫痪。这起事件展现出了僵尸网络对现代通信平台的巨大破坏力。
僵尸网络还能够传播虚假消息,为舆论宣传推波助澜。俄罗斯就曾通过宣传手段加剧了美国社会的动荡,从而干涉了2016年美国大选结果。Twitter公司的管理人员在向美国国会作证时表示,Twitter中存在超过3.6万个俄罗斯政府领导下的僵尸机器人。大选期间,这些机器人生成了约140万条与选举有关的内容,总点击率高达2.88亿次。俄罗斯政府正是通过这种新颖的手段大规模操纵虚假信息,从而改变整个社会的舆论格局。
丹尼尔·霍夫曼
前美国中情局局长
“俄罗斯在近期的三起事件中动用了僵尸网络开展地下舆论攻势。首先,2017年8月Twitter中一个名为“#FireMcMaster”的话题显然是在诋毁美国国家安全顾问赫伯特·雷蒙德·麦克马斯特的名誉。其次,俄罗斯使用僵尸机器人干扰2016年美国大选已经是众所周知的事实。第三,部分北约成员国(特别是东欧国家)是俄罗斯僵尸网络攻击的重灾区。在俄罗斯的宣传口径中,西方世界的理念已经是摇摇欲坠——而美国正在百般阻挠俄罗斯在多极化世界中的“崛起”进程。
托德·罗森布伦
前美国国防部和国土安全部官员
“僵尸网络会对美国的网络,公共安全以及社会结构造成严重威胁。犯罪分子能够利用僵尸网络,以极快的速度传播虚假信息和恶意软件,开展网络诈骗活动。从日益猖獗的骚扰广告到破坏公共舆论的宣传攻势(正如俄罗斯对西方国家所做的那样),再到大规模的敌对性攻击,僵尸网络的危害数不胜数。不仅如此,由于僵尸网络极易操作,大量犯罪分子以及合法的商业机构都将它作为开展活动的手段。更不用说那些借助僵尸网络向西方国家发动攻势的国家(如俄罗斯)了。
应对措施
执法部门通常使用两种手段来打击僵尸网络——逮捕僵尸网络程序的制造者,以及捣毁僵尸网络运行所需的技术设备。
首先,执法部门会试图逮捕、起诉或监禁恶意建立并利用僵尸网络的犯罪分子。但这种措施并不总是有效,因为某个国家的执法机构往往对其他国家的犯罪者无能为力。同时,鉴于僵尸网络极高的隐蔽性,准确揪出僵尸网络的幕后黑手也十分困难。因此,执法部门还会利用扣押、没收和限制令,捣毁承载僵尸网络运行的基础设备。
丹尼尔·霍夫曼
前美国中情局局长
“使用僵尸网络的不法分子往往十分狡猾,他们会对僵尸机器人进行伪装,使这些机器人看上去与正常的人类用户别无二致。因此,僵尸机器人能够掩盖起自己作为破坏分子的真实面目,渗透到网络空间的各个角落。起初,它们会伪装成普通用户,只在推文中使用一些常见的话题标签,在获得一定的关注度之后,这些机器人便会开始发布特定的宣传内容。社交网络与其它媒体网站的用户往往会在不知情的情况下转发这些内容,促使它们得到进一步传播。僵尸机器人的使用成本极低,是一个极其有效的地下宣传工具。想要捣毁僵尸网络,我们首先需要揪出操纵僵尸网络的“幕后黑手”——即僵尸程序的编写者以及宣传活动的策划者。但是,这实在是一项艰巨的挑战,敌对国家与不法分子往往精于躲藏,在隐匿自己行踪的同时将发动网络攻击的责任嫁祸于他人。许多社交网络用户眼中的“网友”也许仅仅是国外情报机构麾下冰冷的机器人程序。
目前,Sinkhole是打击僵尸网络的主流技术手段。Sinkhole一词意为“陷坑”,这一技术将传统僵尸网络中最为薄弱的一个环节——中心控制服务器作为目标。这些服务器通常会充当僵尸网络的所有者与被感染的僵尸计算机间的交流枢纽。在实施Sinkhole防御时,安全人员与执法部门首先会夺取控制服务器所使用的一个或多个网络域名的控制权,随后将来自僵尸计算机的通讯数据重新定向到自己掌管的服务器。这样一来,这些服务器就会如同一个“陷坑”一般,源源不断地接收并捕获僵尸网络中的数据。
Sinkhole服务器不仅能够阻止僵尸网络所有者向被感染的计算机发送指令,还可以帮助执法部门了解所有与服务器进行通讯的受感染计算机的情况,并记录下遍布世界各地的僵尸计算机的IP地址,从而确定僵尸网络的大致分布以及规模大小。Sinkhole技术还能帮助执法部门与受害者取得联系(无论是通过网络运营商还是直接告知),提醒他们已经遭到僵尸程序的感染,须及时采取补救措施。
对于执法部门而言,Sinkhole技术最为积极有效的应用手段是直接远程控制受害者的电脑,删除其中的恶意软件并安装补丁程序修复系统漏洞。不过,这样的操作意味着执法部门需要向陌生的电脑中安装新软件——从本质上来说,这也属于一种黑客行为。这种“入侵”有可能会在无意间对受害者电脑造成损害,也会招致公众对政府侵犯个人隐私的担忧。
虽然Sinkhole技术能够在一定程度上妨碍僵尸网络的运行,但是僵尸网络的所有者对此并非束手无策。他们可以将所有的僵尸主机彼此连接起来并且进行通信(这种网络结构被称为P2P僵尸网络),这样一来,中心控制服务器就变得不再必要,执法人员捣毁整个僵尸网络也将变得更加困难。除非网络的所有者在现实中遭到逮捕,否则僵尸网络将会持续更新换代,不断以更复杂的形态出现在世人面前。执法部门与僵尸网络所有者之间的这场“猫鼠游戏”将会永无止尽地上演。
“对僵尸网络的大规模打击行动会使网络环境变得更加紧张,并且驱使不法分子进一步转向地下活动。只对底层的犯罪者进行抓捕无异于小打小闹,针对处于犯罪网络顶层的僵尸网络生产与销售者进行大刀阔斧的打击才是更为行之有效的途径。从长远角度看,解决僵尸网络问题的最佳方案是在网络中加入检测僵尸机器人的自动防御机制。这一方案虽然不能确保万无一失,却能够在极大程度上净化网络环境,让那些高度复杂的恶意攻击行为无处遁逃。”
未来展望
执法部门与私人部门是否能够开展大规模国际合作将成为打击僵尸网络活动中的最大挑战。在目前的跨国僵尸网络犯罪中,受到牵连的服务器与受害者遍布世界各地,不同国家的法律对于犯罪者的处罚标准也不尽相同,如何在合作中解决组织、法律、外交等各方面的问题仍然是一项不小的难题。好在有关方面已经迈出了踏实的步伐,这种混乱局面将来一定会得到妥善解决。
2013年4月,美国联邦调查局网络司与其他政府部门展开合作,指挥“国家网络调查联合特遣部队”(NCIJTF)发动了代号为“净化”的特别行动,并于2013年6月成功捣毁了Citadel僵尸网络。(Citadel是规模最大的僵尸网络之一,共计感染了全球1100多万台电脑,其C&C(Command & Control,指挥与控制)服务器遍布北美,西欧和亚洲各地,对美国的经济安全与国家安全构成了严重威胁。)
此后,执法部门在捣毁大型僵尸网络的活动中所扮演的角色变得愈发重要。例如,美国司法部曾经根据新修订的《联邦刑事诉讼法》第41条中的规定,为执法部门授予了新的权限,使他们能够一次性获得多个管辖区内电脑的搜查令(这样一来,安全人员就可以自由地设立Sinkhole服务器),该举动最终帮助有关部门于2017年4月成功摧毁了Kelihos僵尸网络。
2017年11月下旬,在欧洲刑警组织网络犯罪中心的协调下,美国FBI还与德国执法部门开展密切合作,成功摧毁了Andromeda(又名Gamarue)僵尸网络。根据微软公司的监测数据,在Sinkhole服务器(取代了原有1500台的C&C服务器)建立后最初的48小时中,仍有来自223个国家的超过200万台受感染的计算机尝试与服务器取得联系,这些数字显示出Andromeda僵尸网络的庞大规模。在安全公司Recorded Future的帮助下,有关部门成功掌握了僵尸网络幕后黑手的真实身份——白俄罗斯人Jarets SergeyGrigorevich,并于2017年12月初将其逮捕。
托德·罗森布伦
前美国国防部和国土安全部官员
“国际合作对于发现并打击敌对僵尸网络的有着至关重要的作用。尽管非法僵尸网络在全球各地均有出现,但众所周知的是,部分东欧及前苏联国家宽松的网络环境能够为僵尸网络的产生与发展提供最好的温床。执法机构往往消息灵通,能够领导针对僵尸网络制作者以及非法使用者的抓捕行动。而政府情报部门则会优先打击国家资助下的网络不法分子——在这一过程中,外交手段与国际制裁具有同等的重要性。当然,公共机构与私人部门间的合作同样是成功打击僵尸网络的关键所在,二者只要各司其职,在各自的领域中保持警惕并及时做出反应,就能在与僵尸网络的战斗中无往不利。”
作者丨Levi Maxey,编译丨王燕处
声明:本文来自全球技术地图,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。