P2P蠕蟲開始肆虐網(wǎng)絡(luò)

申請免費試用、咨詢電話：400-8352-114

P2P（peer to peer）蠕蟲正在網(wǎng)絡(luò)空間到處肆虐。當(dāng)人們享受著P2P帶來的便捷時，病毒也乘機(jī)將它作為一種全新的傳播通道和生存空間。 一年多來最大規(guī)模的電子郵件病毒 Storm在4月12日開始爆發(fā)，它通過垃圾郵件進(jìn)行大量發(fā)送，這次攻擊中還出現(xiàn)了新型的轉(zhuǎn)變，垃圾郵件以提醒用戶小心檢測到的虛假病毒（例如，“Trojan Detected!”，“Virus Activity Detected!”）為標(biāo)題，從而引誘用戶打開Zip文件。

用戶Storm蠕蟲電子郵件中的可執(zhí)行文件會在系統(tǒng)上安裝帶有反安全措施的rootkit惡意代碼，使病毒掃描引擎無法發(fā)現(xiàn)惡意代碼的存在，并關(guān)閉正在運行的安全軟件。然后，該病毒會訪問一個秘密的P2P網(wǎng)絡(luò)，下載新的升級包，從被感染的計算機(jī)中上傳用戶的個人資料，同時掃描被感染PC的硬盤，查找可供發(fā)送電子郵件的地址。最終，被感染的PC將成為一個僵尸網(wǎng)絡(luò)（BotNet）中的僵尸。

據(jù)研究人士稱，Storm蠕蟲迅速流行起來可能意味著得到受控制機(jī)器支持的犯罪活動將開始迎來新高峰。這種攻擊又因為能夠使用專用的對等網(wǎng)絡(luò)來聯(lián)系外部的控制服務(wù)器，最近得到了P2P蠕蟲這一名稱。P2P蠕蟲的出現(xiàn)印證了后病毒時代的病毒發(fā)展趨勢: 在傳播方面新病毒無孔不入，只要哪個互聯(lián)網(wǎng)應(yīng)用被廣泛普及,哪個應(yīng)用就會被病毒利用。

對新一代所謂的P2P蠕蟲而言，由攻擊者控制的被感染計算機(jī)組成大規(guī)模網(wǎng)絡(luò)，并將成為強(qiáng)大引擎，使P2P蠕蟲得以在網(wǎng)絡(luò)空間到處肆虐。當(dāng)人們享受著P2P帶來的便捷時，病毒也乘機(jī)將它作為一種全新的傳播通道和生存空間。

安全專家們預(yù)測: 由于犯罪分子發(fā)現(xiàn)了新的方式，即利用被劫持的PC組成的僵尸網(wǎng)絡(luò)來發(fā)動攻擊，這種僵尸網(wǎng)絡(luò)將成為IT界面臨的最艱巨的挑戰(zhàn)之一。

僵尸網(wǎng)絡(luò)環(huán)環(huán)扣成產(chǎn)業(yè)鏈

網(wǎng)絡(luò)安全專業(yè)公司Arbor Networks的高級軟件工程師Jose Nazario認(rèn)為，更高明的僵尸網(wǎng)絡(luò)技術(shù)加上一群更廣泛的破壞者企圖利用被攻破的計算機(jī)謀利，這兩個因素共同催生了一個繁榮的病毒產(chǎn)業(yè)，要迅速消滅威脅就更難了。

據(jù)專家們稱，由于惡意軟件編寫者、廣告軟件發(fā)布者及行騙分子匯集了僵尸網(wǎng)絡(luò)使用資源，并尋找利用系統(tǒng)的新方法，類似Storm的大規(guī)模P2P攻擊會浮出水面。Storm攻擊可以通過垃圾郵件進(jìn)行迅速傳播，這一特點類似比較傳統(tǒng)的蠕蟲活動。

Nazario介紹: “網(wǎng)絡(luò)僵尸技術(shù)越來越容易使用，因為構(gòu)建僵尸網(wǎng)絡(luò)的人企圖獲得更廣泛的客戶，所以他們勢必會把系統(tǒng)做得更容易使用。他們還找到了出于多種目的來銷售僵尸網(wǎng)絡(luò)的途徑，隨著我們看到僵尸網(wǎng)絡(luò)在市面上大量涌現(xiàn)，幾家主要的犯罪組織似乎也會相互勾結(jié)?！?

Nazario近期受邀參加了在波士頓舉行的名為HotBots的大會。他說，研究人員在會上得出結(jié)論，隨著洗錢本領(lǐng)高超的犯罪團(tuán)伙參與進(jìn)來，并推動這個非法行業(yè)發(fā)展，規(guī)模較大的僵尸網(wǎng)絡(luò)操縱者正變得更加恣意妄為。由于垃圾郵件發(fā)送者和廣告軟件公司的加入，像Storm這些蠕蟲的發(fā)作可能會更加頻繁。

Nazario說: “大家都想從中漁利，有許多新人進(jìn)來，其中一些人的騙術(shù)比較高明。加上許多人使用僵尸網(wǎng)絡(luò)提高欺詐性廣告的收入，許多下一代垃圾郵件發(fā)送者充分利用這些僵尸網(wǎng)絡(luò)，到處是貪婪的目光，結(jié)果也就可想而知?！?

跟蹤僵尸網(wǎng)絡(luò)操縱者的研究人員面臨的一個問題是，他們能不能滲入這個不法社區(qū)，又不會暴露身份。Nazario介紹說，這也是HotBots大會上激烈討論的一個話題。另一個難題則是僵尸網(wǎng)絡(luò)行業(yè)呈現(xiàn)出國際化的特性，因為許多不法分子來自東歐和亞洲。

Storm在2006年12月以大量的相關(guān)垃圾郵件擁塞網(wǎng)絡(luò)，當(dāng)時它還只是一種比較簡單的特洛伊木馬程序，不過已首次開始拉響警報。這種最新的攻擊今年4月已衍化成極其邪惡的版本: 把自己隱藏在受口令保護(hù)的ZIP文件里面，四處分發(fā)，從而避開反病毒系統(tǒng)，并且在被感染系統(tǒng)上安裝root kit。

警惕僵尸網(wǎng)絡(luò)變種

研究人士發(fā)現(xiàn)，實施攻擊的不法分子顯得越來越專業(yè)化，這是僵尸網(wǎng)絡(luò)產(chǎn)業(yè)在不斷成熟的另一個標(biāo)志。另一個跡象是越來越多的僵尸網(wǎng)絡(luò)只被每個攻擊團(tuán)伙使用一次，然后就棄之不用。Mcafee公司Avert實驗室的安全研究和通信經(jīng)理Dave Marcus分析，這一方面是由于攻擊者更狡猾了，但另一方面是由于人們改進(jìn)了防御機(jī)制。

Marcus說: “我們看到許多僵尸網(wǎng)絡(luò)只有一個目的，就是獲取經(jīng)濟(jì)利益。以前，你會看到大多數(shù)僵尸網(wǎng)絡(luò)用于拒絕服務(wù)、垃圾郵件、廣告軟件和間諜軟件，而現(xiàn)在越來越多的僵尸網(wǎng)絡(luò)似乎是為了一個目的而構(gòu)建的。顯然，攻擊者目的明確，只盯住最有利可圖的方法，比較狡猾的攻擊者還盡量不露出馬腳。”

雖然2001年到2004年間傳統(tǒng)的自我復(fù)制型蠕蟲是攻擊者的首選方式，但研究人士認(rèn)為，來自僵尸網(wǎng)絡(luò)的新型蠕蟲會成為大規(guī)模攻擊的一種流行平臺，直到它們遭到阻攔，對此IT安全界應(yīng)當(dāng)有所防備。

專家們堅持認(rèn)為，針對特定人群實施的有目標(biāo)、小范圍的攻擊可能會讓惡意軟件編寫者和網(wǎng)絡(luò)犯罪分子獲得最大的經(jīng)濟(jì)回報; 不過近期襲擊互聯(lián)網(wǎng)的新病毒可能比較容易被發(fā)現(xiàn)，相對來說危害不大。

圣何塞軟件開發(fā)商Secure Computing的首席研究科學(xué)家Dmitri Alperovitch說: “我們對基于電子郵件的蠕蟲見怪不怪，但蠕蟲基于Web進(jìn)行傳播的途徑確實沒有得到充分利用，所以這應(yīng)當(dāng)不足為奇。Storm只是早期利用這個機(jī)會的重大攻擊之一，不過完全有理由相信: 由于僵尸網(wǎng)絡(luò)問題的嚴(yán)重性，我們可能還會看到更多的攻擊?！?

鏈接:何為僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò)（BotNet），是互聯(lián)網(wǎng)上受到黑客集中控制的一群計算機(jī)，往往被黑客用來發(fā)起大規(guī)模的網(wǎng)絡(luò)攻擊，如分布式拒絕服務(wù)攻擊（DDoS）、海量垃圾郵件等，同時黑客控制的這些計算機(jī)所保存的信息也都可被攻擊者隨意“取用”。因此，僵尸網(wǎng)絡(luò)不論是對系統(tǒng)安全還是用戶數(shù)據(jù)安全來說都極具威脅的隱患，僵尸網(wǎng)絡(luò)的威脅也因此成為目前一個國際上十分關(guān)注的問題。然而，發(fā)現(xiàn)一個僵尸網(wǎng)絡(luò)是非常困難的，因為黑客通常遠(yuǎn)程、隱蔽地控制分散在網(wǎng)絡(luò)上的“僵尸主機(jī)”，這些主機(jī)的用戶往往并不知情。因此，僵尸網(wǎng)絡(luò)是目前互聯(lián)網(wǎng)上黑客最青睞的作案工具。 (ccw)