僵尸网络的最新消息与发展趋势

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 对于当前的形势我一直有一个疑问,为何世界经济持续低迷,但网络犯罪活动却欣欣向荣。难道互联网真的是犯罪分子的天堂么?是否是高昂的投资回报率,使得恶意软件制作者们不断改进如Storm这样的蠕虫?貌似如此。

对于当前的形势我一直有一个疑问,为何世界经济持续低迷,但网络犯罪活动却欣欣向荣。难道互联网真的是犯罪分子的天堂么?是否是高昂的投资回报率,使得恶意软件制作者们不断改进如Storm这样的蠕虫?貌似如此。

  Storm卷土重来

  首先要提到的重大事件是由Storm 蠕虫创建的僵尸网络再度出现。2007年,Storm蠕虫曾经建立起了一个空前庞大的僵尸网络。不过在2008年初,由于微软发布了Malicious Software Removal Tool (MSRT),这个僵尸网络几乎绝迹了。当时,随着微软在一个月内发布了多个Storm 变种的签名标记,MSRT几乎从30万台电脑中删除了Storm。

  与此同时,Secureworks 的主管Joe Stewart破解了这款恶意软件用来与命令和控制服务器通信的64-bit加密密钥。有了这个密钥,安全专家们将可以通过隔离和屏蔽点到点的内部节点通信的方式进一步降低Storm僵尸网络的有效性。

  2008年8月,我曾经写了一篇名为《Storm蠕虫: 僵尸网络的巨无霸》的文章。文中,我指出了Storm开发者们的坚韧态度。那时候Storm好像正在筹划卷土重来,不过之后一段时间好像没有什么动静,我以为是我估计错误了。现在看来,是Storm的开发者们重新分组导致了延迟。

  Waledec是 Storm 的新面孔

  Dr. Jose Nazario在文章《有关僵尸网络的十个问题》中曾经回答了很多关于僵尸网络的问题,而现在他认为, Waledec 是Storm僵尸网络的最新版本。在他的文章《Waledec介绍》中是这样描述的:

  “首先,看上去Waledac是 Storm蠕虫的基础和组成部分,但是添加了新的恶意代码。我已经根据可靠的信息来源研究多日了,目前非常支持这一结论,。

  我们在研究小组中发现, Storm 蠕虫网络节点既可以作为HTTP代理,也可以作为开放的递归DNS服务器。”

  Waledec的改进之处

  Storm采用 P2P技术用来进行命令和控制信息的传递,最初这被认作是一种相当聪明的管理僵尸网络的方法。而现在,安全专家却可以根据这些数据流跟踪并最终定位僵尸网络节点。而Waledec则是采用基于HTTP的命令和控制传输。因为恶意软件开发人员已经意识到了,要在互联网那浩如烟海的HTTP传输信息中隔离出微量的特殊HTTP命令和控制请求,难度远远超过前者。

  同时, Waledec对加密程序也进行了升级,从原先的64-bit RSA算法演变成了两部分加密过程。第一部分是初始连接传输,采用的是AES加密。一旦确认握手完成, Waledec 对余下的数据传输就转换为RSA 1024-bit加密,这种加密方式几乎是无法破解的。

  Waledec的目的

  我觉得Waledec和Storm一样,就是想让大家的邮箱中都塞满了垃圾邮件。在去年圣诞夜,安全专家们发现很多垃圾邮件都是由电子贺卡组成的。这种方式与过去Storm网络的垃圾邮件发送方式非常类似,因此研究人员才将Storm和Waledec联系在了一起。

  所以说,Storm也就是现在所说的 Waledec ,仍然存在于互联网上,并且比以前更加壮大了。接下来,我将介绍另一个有关僵尸网络的新闻。这条新闻之所以惊人,是因为它披露了僵尸网络的增长率。

  Worm:Win32/Conficker.B:散播不需要很多时间

  去年十二月,我写过一篇文章“MS08-067:不升级导致恶魔僵尸网络成型”。那时候我还没有预料到所谓的恶魔僵尸网络会包含了300万(或900万)僵尸电脑。Kelly Jackson Higgins 在他的文章 “广泛传播的蠕虫可能形成新的僵尸网络”中介绍了Win32/Conficker.B’s 成功散播后的情况:

  “有一点是肯定的:这个蠕虫散播的速度如同野火一般,它的开发者好像要与时间赛跑,尽一切可能感染那些没有及时安装漏洞补丁的Windows 2000, XP, 以及 Windows Server 2003 系统。目前这个蠕虫的开发者已经制造出了新的变种以逃避检测。”

  还没引爆的定时炸弹

  虽然目前这个僵尸网络还没有表现出任何明显的目的,但安全专家随时都在监视着这个极具潜力的僵尸网络。恶意代码编造出的特殊域名是僵尸电脑与命令和控制服务器连接所必须的部分,但是目前这些域名还没有被注册。分析人士甚至怀疑,是不是僵尸网络的幕后黑手也被如此大量的僵尸电脑所困扰,在开发命令和控制服务器架构的时候遇到了困难。

  希望 MSRT再次成为救命稻草

  微软也认为Waledec 将成为一个新的威胁。还记得针对Conficker紧急推出的MS08-067补丁么,在一月份的关键升级中,微软甚至提供了Conficker 的检测签名:

  “为了帮助广大被感染的用户,我们决定在一月份的MSRT 加入对此种蠕虫的检测和删除功能。如果你的电脑或网络环境被这种恶意软件入侵,可以运行MSRT将其杀除。”

  下图(来自微软)显示了Conficker 蠕虫的工作方式:

僵尸网络的最新消息与发展趋势

  总 结

  这篇文章主要是想让朋友们及时了解当前僵尸网络世界的现状。虽然我们都意识到了与僵尸网络的战争还将持续很久,但我只是希望这种负面消息越少越好。

目录
相关文章
|
9月前
|
运维 安全 网络安全
睿哲信息:网站又崩了?互联网黑天鹅事件频发,这些事企业不得不防!
2023年B站崩了两次,一次是三月份,B站手机盒电脑端当天无法查看视频详情页,到了8月份,B站又崩了一次,许多网站反馈B站图片无法加载,视频无法打开,一直在缓冲。无独有偶,3月份腾讯旗下的微信和QQ登也出现了业务崩溃,微信语音对话、朋友圈、微信支付、QQ文件传输、QQ空间登多个功能都无法启用。
138 3
|
新能源
威马汽车回应破产风波事件舆情传播分析
威马汽车回应破产风波事件舆情传播分析
|
机器学习/深度学习 安全 大数据
“撞库”成网络黑产源头 从技术和机制寻找解决之道
“撞库”成网络黑产源头 从技术和机制寻找解决之道
“撞库”成网络黑产源头 从技术和机制寻找解决之道
|
SQL 运维 安全
病毒知多少,防御我最先,网络运维必知
  网络的日益普及也造就了病毒的泛滥成灾,比较著名的有AV终结者、下载者、灰鸽子……其实病毒也没大家想象中的那么可怕,只要对病毒有些了解,即使在中毒后也能采取相应的方法来解决问题,正所谓知己知彼百战百胜,其中的道理想必大家也都明白。中什么样的病毒,就采取相应的解决方法,再也不用毫无头绪,特别是那些学习黑客的新手朋友,在下载了一些黑客工具后,却不能快速、有效的识别出这些工具是否感染了病毒,是否捆绑了木马,因此导致了一些不必要的麻烦和误删除工具(因为大部分的黑客工具杀毒软件都会报毒的),使得想妥进行的步骤停滞或者停止。所以,对病毒的相关认识也是新手朋友们必须具备的一项基础技能,能够正确区分出哪些是
277 0
|
网络安全
《2019上半年DDoS攻击态势报告》发布:应用层攻击形势依然严峻,海量移动设备成新一代肉鸡
阿里云安全团队基于2019年上半年云上的DDoS攻击数据,从DDoS攻击事件、僵尸网络中控、DDoS肉鸡、攻击事件情况等多个维度做了统计分析,希望为政府和企业客户提供参考。
4493 0
|
网络安全 网络架构
疯子的研究:瘫痪整个互联网绝非天方夜谭
我们知道,通过分布式拒绝服务(DDoS)攻击可以黑掉一个网站,通过某些手段可以封锁整个国家的互联网基础设施,但是能不能让整个互联网瘫痪下来呢?看起来有些不可思议,但似乎确实能做到。 英国《新科学家》杂志报道称,明尼苏达大学计算机科学与工程系研究生Max Schuchard及其伙伴通过研究发现了一种方法,在边界网关协议(BGP)网络路由器上发起DDoS攻击就可以击垮整个互联网。
981 0
|
安全
互联网进病毒高发期 黑客瞄准网络春晚
随着春节长假的临近,互联网进入了病毒的高发期。即时通讯、网络春晚以及网络游戏成了黑客的重点关注对象。 昨日,记者从瑞星公司了解到,截至2010年1月底,瑞星共拦截475万个挂马网站,比前一个月提升近百万;截获新增病毒样本数86万,比前一个月增加20万个。
1012 0
|
安全 物联网 C++
记一枚可能被夸大的“数百万物联网设备远程劫持”漏洞
本文讲的是记一枚可能被夸大的“数百万物联网设备远程劫持”漏洞,安全研究人员发现,主流互联网设备制造商使用的开源组件开发库存在一个严重级别的远程命令执行漏洞(CVE-2017-9765),可使数百万物联网设备陷入危险之中,容易受到攻击。
1587 0
|
监控 安全 Android开发

热门文章

最新文章