近期發(fā)生了三起較有影響力的,業(yè)界聯(lián)手打擊僵尸網(wǎng)絡(luò)的事件。
一是歐美執(zhí)法部門(mén)聯(lián)合安全企業(yè)關(guān)閉了了辛巴達(dá)僵尸網(wǎng)絡(luò)的14臺(tái)命令控制服務(wù)器。該僵尸網(wǎng)絡(luò)半年業(yè)感染了全世界190國(guó)家的77萬(wàn)臺(tái)計(jì)算機(jī)。
二是英特爾安全、卡巴斯基以及歐洲和美國(guó)的執(zhí)法機(jī)構(gòu)聯(lián)合打掉了已經(jīng)存在6年的擁有3.5萬(wàn)臺(tái)肉機(jī)的僵尸網(wǎng)絡(luò)“蜂骨”(Beebone)。
三是國(guó)際電信巨頭Level 3與思科直接把“SSH精神病”(Psychos)關(guān)進(jìn)了黑洞。
但不幸的是,僵尸不死。
9個(gè)月前,Akamai威脅研究小組在其博客上記錄了一個(gè)僵尸網(wǎng)絡(luò)的技術(shù)細(xì)節(jié)。這個(gè)僵尸網(wǎng)絡(luò)利用Joomla內(nèi)容編輯器插件的一個(gè)已知漏洞,上傳未授權(quán)的惡意文件。九個(gè)月后,研究小組還在繼續(xù)觀察這個(gè)僵尸網(wǎng)絡(luò)。
你也許認(rèn)為作為一個(gè)有逼格的僵尸大人,本該默默地在黑暗世界游走,但卻被安全博客披露的體無(wú)完膚,應(yīng)該無(wú)法再在這個(gè)圈子里混了。但恰恰相反,它不僅沒(méi)有逐漸銷(xiāo)聲匿跡,反而還繼續(xù)進(jìn)化,侵蝕到了其他的內(nèi)容管理系統(tǒng),比如WordPress。
那么,我們就只能看著這個(gè)毫不尊重互聯(lián)網(wǎng)秩序的惡棍繼續(xù)地肆無(wú)忌憚?僵尸的確不死,但那是在電影、電視上,互聯(lián)網(wǎng)上的僵尸會(huì)永生么?
僵尸概覽
這個(gè)僵尸網(wǎng)絡(luò)包含1037個(gè)肉機(jī),均為互聯(lián)網(wǎng)上公開(kāi)的網(wǎng)頁(yè)服務(wù)器,絕大部分運(yùn)行著Joomla和WordPress。
盡管它算不上一只大型僵尸,但仍然能給如今的網(wǎng)絡(luò)環(huán)境帶來(lái)不小的威脅。從DDoS攻擊,到數(shù)據(jù)盜竊,再到網(wǎng)站掛馬、惡意鏈接,掃描網(wǎng)絡(luò)尋找肉機(jī),進(jìn)一步擴(kuò)大感染。它使用分布式技術(shù)針對(duì)7800種網(wǎng)頁(yè)應(yīng)用程序,以盡可能多的找到有漏洞的網(wǎng)站內(nèi)容管理系統(tǒng)。
通過(guò)對(duì)這只僵尸的分析,發(fā)現(xiàn)以下幾點(diǎn)主要特征:
1.不停的活動(dòng)
盡管它的活動(dòng)程度在下降,但它并沒(méi)有死掉,每天平均都有50臺(tái)肉機(jī)處于活動(dòng)中。
2.隨著時(shí)間增長(zhǎng)
有趣的是,雖然觀察到它的活動(dòng)程度在下降,可是它實(shí)際上還在不斷的捕獲新的肉機(jī),增加自己的體量。平均每天約有11臺(tái)肉機(jī)加入進(jìn)來(lái),即每個(gè)月360臺(tái)。
3.肉機(jī)的活動(dòng)時(shí)間
基于Joomla的肉機(jī)平均是29天,其他網(wǎng)站平臺(tái)的服務(wù)器是10天。原因未知,但懷疑與Joomla漏洞的大規(guī)模利用有關(guān)。
4.JCE漏洞之外
除了JCE,還發(fā)現(xiàn)其他的平臺(tái)及其相關(guān)漏洞也是該僵尸網(wǎng)絡(luò)的對(duì)象:
·WordPressr圖片尺寸重設(shè)模塊TimThumb中的遠(yuǎn)程文件包含(RFI)漏洞
·Open Flash Chart庫(kù)的遠(yuǎn)程代碼執(zhí)行(RCE)漏洞
5.肉機(jī)壽命
9個(gè)月之前的肉機(jī)中,還有43臺(tái)機(jī)器還在進(jìn)行惡意活動(dòng)。這么長(zhǎng)的生存時(shí)間不得不令人驚訝,因?yàn)楝F(xiàn)在的環(huán)境非常不利用肉機(jī)生存。如:
a) 該僵尸針對(duì)一個(gè)已曝光3年的漏洞,含有此漏洞的服務(wù)器應(yīng)該都已經(jīng)升級(jí)了;
b) 對(duì)該漏洞的利用已經(jīng)廣為人知,況且這也不是第一個(gè)JCE漏洞;
c) 該僵尸網(wǎng)絡(luò)的活動(dòng)非常明顯,毫不諱人,攻擊許多網(wǎng)站應(yīng)用程序,因而很容易被檢測(cè)到。
6.肉機(jī)上的后門(mén)
發(fā)現(xiàn)某些肉機(jī)上有安裝后門(mén)的跡象,這些后門(mén)可以遠(yuǎn)程控制肉機(jī),完全的擁有這臺(tái)機(jī)器。后門(mén)的操縱者可以盜取肉機(jī)用戶(hù)的金融和個(gè)人信息,并發(fā)動(dòng)針對(duì)其他服務(wù)器的各種攻擊。
總結(jié)
很不幸,僵尸網(wǎng)絡(luò)的故事無(wú)法終結(jié)。
僅僅對(duì)僵尸網(wǎng)絡(luò)和它的伎倆進(jìn)行曝光,是無(wú)法阻止它的。而且,即使屏蔽掉它控制著的每一臺(tái)肉機(jī)也稱(chēng)不上是非常有效的方法,因?yàn)樗毖艿母?。我們需要另外的解決方案。
一種方案是通過(guò)基于信譽(yù)的系統(tǒng)監(jiān)控所有的攻擊源,從而令安全操作人員能夠依據(jù)過(guò)去行為和行為分類(lèi)來(lái)評(píng)估新出現(xiàn)的威脅。通過(guò)對(duì)網(wǎng)絡(luò)流量各因素的處理,如攻擊者的持續(xù)性,攻擊目標(biāo)程序的數(shù)量,攻擊程度和造成的嚴(yán)重性,給其打分,以預(yù)測(cè)攻擊源的下一步行動(dòng)或意圖,然后預(yù)先采取行動(dòng)。
另一種方案則是本文開(kāi)始的“SSH精神病”,找到攻擊源后直接從電信運(yùn)營(yíng)商級(jí)別把攻擊流量扔進(jìn)黑洞。
但這兩種方案并不容易實(shí)現(xiàn),首先信譽(yù)系統(tǒng)的建立和統(tǒng)一就是一個(gè)非常麻煩的事情。而直接與電信運(yùn)營(yíng)商合作,則關(guān)乎法律問(wèn)題,更何況不是每個(gè)安全廠商都能夠方便自由的與電信聯(lián)合一起打僵尸的。
僵尸網(wǎng)絡(luò)利用的是漏洞,只要它咬上你一口,你便成為其中一份子,然后自動(dòng)尋找下一個(gè)受害者。無(wú)論怎樣,它都會(huì)永遠(yuǎn)繼續(xù)下去。除非它咬不到人,也就意味著一個(gè)沒(méi)有漏洞的互聯(lián)網(wǎng)。
很明顯,這是不可能的。
最新消息
2007年出現(xiàn)的“推動(dòng)”(Pushdo)僵尸網(wǎng)絡(luò),在承受了四次打擊圍剿之后,隨著一個(gè)最新的版本又重生了。目前,該僵尸網(wǎng)絡(luò)的感染范圍已到50個(gè)國(guó)家。