发自僵尸网络卧底小组的安全报告

　　在今年早些时候，加州大学圣巴巴拉分校（UCSB）的研究小组令人吃惊的杀入了互联网的黑暗阵营，他们成功地入侵了一个僵尸网络，并且掌握了大量关键细节，可以帮助IT行业更好的保护自己免受类似威胁。

　　研究人员来自学校的计算机科学系，他们控制了一个Torpig僵尸网络（也称Mebroot或Sinowal）长达一周多的时间，研究僵尸网络如何工作，并且更好的理解了这种威胁的蔓延方式。当然，如果您对僵尸网络还不够了解，可以参考51CTO.com安全频道中专家的详细介绍：什么是僵尸网络。

　　在他们控制Torpig的10天内，他们还检查了僵尸网络从被感染的PC用户那里窃取的信息，被感染的PC总数大概是18280台，其中约有17217台在企业网络上。

　　上个月小组发布了研究报告，报告中说他们观察的僵尸网络在用户没有察觉的情况下窃取了超过69GB的数据，主要是银行帐户凭据和信用卡信息，这两者都是网络罪犯的最想得到的目标。

　　在10天的观察中，Torpig僵尸窃取了1660个独立的信用卡或借记卡号，以及410家不同的金融机构的8310个账户。其中的热门目标包括PayPal账户1770个，Poste Italiane账户765个，Capital One账户314个，E*Trade账户304个，以及Chase账户217个（51CTO.com注，以上这些账户都是美国常见的金融领域运营品牌）。其他的被盗数据包括电子邮件地址、电子邮件帐户和Windows密码等。研究人员说，他们已将发现的信息提供给了受影响的金融机构和执法机关。

　　避免数据被盗

　　报告中也许最让人恼火的部分就是研究小组了解到有很多损失本是可以预防的。"我们发现，很多被感染的用户没有使用最新版本的操作系统或网页浏览器，"UCSB副教授Giovanni Vigna说，他的呼吁和所有安全工作者们一样，请让软件保持最新的更新。

　　然而，即使是防御周密的用户也可能被僵尸网络攻破，因为僵尸网络会使用"浏览即下载（drive-by download）"的感染技术，在合法网站中安装恶意软件。此外，根据51CTO.com安全频道专家的经验，僵尸网络等攻击手段的日益翻新，例如0Day攻击等，也让很多传统的防御手段束手无策，比如近期的Adobe阅读器漏洞攻击等。

　　研究小组说，虽然侵入了Torpig，但他们没有试着摧毁它，因为这样做可能有意想不到的后果，可能会促使罪犯采取进一步的保护行动。例如，Torpig现在已经使用了一种更加复杂的算法，研究小组的成员说，对手已经察觉并且关闭了他们得以控制的僵尸网络一个漏洞。

　　怎样潜入僵尸网络

　　研究小组的成员首先要弄清僵尸网络要到哪里去寻找攻击域名的指令，即他们通常用来控制网络的command-and-control（C&C）服务器。

　　研究小组称Torpig僵尸网络使用的技术为domain flux（域名流动技术，关于捕捉动态域名或"域名流动技术"介绍请参见51CTO.com安全频道：SNIFFER透视动态域名），Torpig每周会按照一种新的顺序检查一个不同的网站，目的是使安全研究人员更难预计僵尸的行动。

　　但是，研究小组证明了要想找到Torpig最新指示的攻击目标并不困难。这是因为Torpig僵尸网络在确定攻击目标时使用了比较简单的算法：使用当前的日期创建一个随机域名，然后对该域名的.com、.net和.biz等顶级域名进行猎杀。

　　研究小组发现，僵尸网络的主人仅提前几周才开始准备攻击，因此他们提前计算出了Torpig将很快检查的域名，并特意在名声不好的域名提供商那里购买了这些域名。

　　这种做法收到了成效，研究小组在1月25日成功控制了C&C服务器，并开始接收Torpig收割到的所有数据。研究在2月4日停顿下来，因为僵尸网络控制者有所查觉，使用了新版的Torpig，改变了僵尸网络选择域名的算法。

　　那么研究小组还能够重复他们的实验来打击僵尸网络吗？有可能。

　　"研究员们逆向研究了新算法，发现他们最近改变了域名算法，按照Twitter热门主题的第一个字母来生成域名列表。"Vigna说。但是，这样的方法不可能对每一个僵尸网络都能正常工作。虽然这次入侵Torpig的成本仅为20美元--只是注册两个域名的成本--但研究小组的报告指出，新的恶意软件已经设计出来，如果依然采取购买域名的方法，那么花费将无法接受。例如，最近的Conficker变种每天可以产生多达5万个域名的列表，要想把这些域名都买下来，每年的开销将是一个天文数字。

　　另外捕猎僵尸网络还要考虑到更现实的条件。Vigna说，在他们决定入侵Torpig之前他曾警告说，学校的IT部门可能会在几周内碰到一些不寻常的网络流量。

　　"我们的实验室已经习惯了各种稀奇古怪的网络事件，但我们还是做好了准备，"Vigna说，"我们真的不知道能不能成功入侵，能收集到多少信息，但最终我们做到了，现在看来效果还不错。"