僵尸网络猎人

如今,Andre DiMino是专业的数字取证分析师。到了晚上,他担任一家名为影子服务器基金会的组织的主任,该组织是一群致力于侦查网络犯罪分子并将其关闭的志愿者。这是他的故事。

十四岁的安德烈·迪米诺(Andre DiMino)自称为怪胎,一直对计算机和网络感兴趣。但是直到多年后他才进入职业生涯,他才对这个世界的安全方面产生了兴趣。

DiMino说:“我是一个相当大的网络的系统管理员,一个周末经历了一次重大的黑客事件。” “我开始沉迷于攻击方法,可能涉及的对象以及攻击的来源。那时,我对安全的各个方面以及进行攻击的各个小组充满了热情。”

今天,在40多岁的时候,DiMino对安全的阴暗面的兴趣消耗了他的大量闲暇时间。每天,DiMino都是专业的数字法证分析师。到了晚上,他担任了一家知名组织的董事 影子服务器基金会,一群致力于侦查网络犯罪分子并将其关闭的志愿者。

DiMino和另一位不再是该组织的联合创始人,于2004年启动了Shadowserver,其最初的使命是跟踪在线恶意活动并找到阻止该活动的方法。

DiMino说:“我们只是开始追逐恶意软件,追逐机器人。” “主要是我们有兴趣了解恶意软件的工作方式,去向,开发方式。”

他们花费了大量时间来跟踪恶意僵尸网络,这些僵尸计算机网络运行的病毒是通过蠕虫或蠕虫在所有者不知情的情况下安装的。然后,这些系统由“机器人主”进行远程控制。它们用于各种在线犯罪,包括发送垃圾邮件,网络钓鱼,实施点击欺诈和 发起拒绝服务(DDoS)攻击。 Windows PC是典型的目标,尽管今年早些时候报道了Mac僵尸网络。

另请参阅交互式图形僵尸网络的外观

DiMino说,仅仅在五年前,狩猎僵尸网络是一种截然不同的游戏。他说,僵尸网络非常简单,通信的主要方法是IRC(Internet中继聊天)。 DiMino和其他志愿者可以通过加入僵尸网络,像僵尸一样行为,观察僵尸网络的流量,以了解僵尸网络的结构并了解其特定功能。他们开始联系网络主机,警告他们正在支持僵尸网络并看到它们关闭,因此他们的努力值得。

迪米诺说:“事情真的开始滚雪球了。” “我们认为应该为社区提供服务,以提高互联网的安全性。我们开始建立跨部门的安全专家来提供帮助。”

Shadowserver现在在世界各地有十个DiMino称为“经过仔细审查”的志愿者。他说,这些网络犯罪破坏者必须具有最高的信任度,因为Shadowserver志愿者处理的数据非常敏感。而这正是坏家伙想要的。

贸易工具

DiMino详细介绍了Shadowerver用来阻止僵尸网络的四个步骤。该小组首先通过设置蜜罐(易于黑客发现和感染的Internet连接系统)来检测恶意软件,然后他们使用许多不同类型的技术来分析传入和传出的流量。

DiMino说:“在僵尸网络/恶意软件网络分析中,我们喜欢进行动态和静态分析。” “动态地,我们希望研究整个内容网络的流量,以帮助准确确定网络上正在发生的事情。因此,诸如Wireshark,Chaosreader,Argus等开源工具将非常有用。我们还对入侵检测的方式进行了测试。系统可能会检测到恶意网络活动,因此我们也使用Snort。然后,我们将各种开源蜜罐用作恶意软件集合的一部分,任何对恶意软件检测/收集感兴趣的组织都应在以下位置运行某种服务器端蜜罐:网络上的不同点。就针对他们的潜在恶意流量而言,它可以很好地表明他们所面对的问题。”

这些蜜罐传感器捕获垃圾邮件和恶意软件,然后对其进行分析。志愿者想知道其网络接触点;恶意软件在哪里?它尝试与谁联系?这些是找到僵尸网络的第一步。 (看到 Gozi的第一秒如何发展 不幸的是,这不是很简单,并且需要微妙的平衡,以使他们都能获得信息而不会造成问题。

迪米诺说:“现在,机器人大师有办法检测这些无人机并将其启动。” “此外,我们不想参与攻击,因此我们不希望我们的监控系统进行垃圾邮件运行或类似的行为。”

所有信息均被汇总到Shadowserver的报告中,Shadowserver可供网络运营商以及可能需要数据用于研究或其他目的的执法人员以及其他以安全为中心的组织和国防组织使用。 Shadowserver还将与网络运营商联系,以告知他们是否托管了僵尸网络。 DiMino说,唯一的免费数据请求是主机采取行动并关闭僵尸网络。

可以说是一项不费力的工作:好心的网络运营商可能会禁用僵尸网络,网络中的计算机仍然受到感染,犯罪分子通常会很快将它们“恢复工作”。例如,托管数个垃圾邮件发送僵尸网络的网络托管公司McColo Corp.于去年年底关闭后,垃圾邮件数量下降了65%, 但几周后又回来了.

“有时看到某些僵尸网络的弹性绝对会令人沮丧和沮丧。但是,我们对执法机构,各种安全组织甚至能够追踪的国际CERT团体的兴趣与合作日益增长感到鼓舞。运动并继续产生影响。”

猎人的心

什么样的人可以从事这项工作,本质上是从事恶意软件和僵尸网络的狩猎工作? DiMino认为,一个非常有耐心的人不仅有激情,而且有时间去做。 Shadowserver志愿者经常每天花费超过12个小时的空闲时间来跟踪恶意活动。拥有电气工程学位的DiMino不会猜测他的职业会朝着正确的方向前进。

他说:“当我在学校的时候,我从没想过我会尽自己最大的努力。”

另一方面,Steve Santorelli从职业生涯的开始就看到了他在IT安全调查中的未来。这位英国本地人最初是与苏格兰场一起进入执法部门的,目的是从事计算机调查工作。在担任非营利组织全球拓展总监之前,他最终在Microsoft从事类似工作。 西姆鲁队,这是一个由十年前的四个人组成的小组,圣托雷利说,他们只是出于网络犯罪的“谁”和“为什么”的动机。

“那时爆发了爆炸,几乎完美的有组织犯罪风暴随着银行开始上线而开始进入网络领域,与此同时,计算机恶意黑客开始意识到有钱可赚。”圣托雷利说。

Cymru团队在全球拥有35名成员,他们调查恶意的在线活动,并与执法部门和其他人员合作制止该行为。

Santorelli说:“我只是发现这是一种有趣的方式,您必须从战略角度进行思考。” “这是现代的国际象棋游戏。”

Santorelli说,在比赛中,正如DiMino所说,一个对手总是在努力超越另一个对手。

他说:“在冷战时期,有一场核军备竞赛。” “现在,就像银行采取反措施一样,犯罪分子规避了这一点。僵尸网络技术也是如此。”

对等僵尸网络,例如被称为Storm和 ConfickerSantorelli表示,,这使比赛达到了一个新的高度。

他解释说:“他们深感不安。要真正摧毁基于对等的僵尸网络,唯一的办法就是踢开大门,逮捕背后的人。” “从本质上讲,这些罪犯已经检查了社区进行调查的方式,并逐渐发展为规避我们已采取的对策。”

他继续说:“这些都是非常复杂的僵尸网络。” “即使您可以侵入僵尸网络基础设施,也不能发出卸载命令。大多数命令都有一个简单的命令可以将其卸载。但是您不能这样做,因为您正在未经授权的情况下对受影响的计算机进行了修改。司法管辖区没有法官会允许您这样做。例如,得克萨斯州的法官无法让您对东京的机器进行修改。从技术上讲,即使您这样做,也是违法的。”

从阴影到实验室

僵尸网络的搜寻工作不仅由Shadowserver和Team Cymru等志愿组织和非营利组织完成,而且还由赛门铁克等全球许多最大的安全供应商的研究部门完成。该公司安全响应部门副总裁Vincent Weafer表示,他的团队正忙于寻找恶意活动,以获取可用于未来安全产品的可行情报。他还列举了不断变化的威胁态势,犯罪分子几乎在安全措施赶上后立即调整了他们的策略。

Weafer指出:“我们每天提供100,000个新病毒签名。”

Weafer说,这是一个职业,时间和经验并不能使工作变得容易。随着僵尸网络以及掌握这些僵尸网络的犯罪分子变得越来越隐蔽,越来越流行,感染继续攀升。实际上,从2007年到2008年,平均每天有75,158台受感染的计算机被bot感染的计算机数量增加了31%。

另请参阅僵尸网络的名称

韦弗说:“几年前,我们曾经谈论过在互联网的黑暗小巷,色情网站以及诸如此类的事情上,[被感染的人]。” “但是如今,大多数攻击者的网络投掷方式都大不相同。他们发现安全性较弱的合法网站,并在这些网站上植入了漏洞利用程序,他们的想法是,如果有足够的人访问这些网站,他们将利用这些漏洞利用计算机。”

这意味着现在几乎任何人都有感染的危险。而且,对计算机进行修补和更新不会再保证用户的免疫力。 Weafer和其他人指出,这些天,即使实际的恶意软件不在您访问的站点上,所有罪犯需要您执行的工作就是运行脚本,您可能会被感染。

Santorelli指出:“许多网站现在对广告几乎没有控制权。” “最近,我们已经看到许多人进入合法网站的案例,那里有一个托管某种恶意代码的广告。”

最近采用的另一种流行策略,即使是在合法站点上,也是 提供流氓防病毒软件,这取决于 社会工程学 诱使用户下载他们认为是安全软件的软件,该软件将扫描或删除恶意软件。相反,当用户授予下载权限时,他们就被感染了。

Weafer解释说:“一台被感染的机器通常没有一个恶意软件,而只有几个恶意软件。” “接下来,它要做的就是电话回家。它与主控方通信,让他们知道“我在线”。

那时,受感染的计算机是僵尸网络的一部分。那里的许多计算机都可以竞标主控制器,从某种意义上说,它是为犯罪分子提供的软件即服务,他们将犯罪分子从僵尸网络管理员那里租用,用于各种计划,例如欺诈性药物骗局,占70%。根据安全公司McAfee的分析,9月份全球垃圾邮件数量达到了25%。

“我们通常将其称为僵尸网络即服务,” Weafer说。 “而且要考虑服务质量和带宽。所有这些都是僵尸网络管理员想要的东西,因为反过来,他将对此进行宣传。” (CSO在2000年对这个地下在线世界进行了深入研究 深入了解全球黑客服务经济

带来很多担忧的工作

听到这些安全调查员在其工作中所见到的某些事情,就是听到有关感染网络不祥增长,其影响尚未发现的故事。这是可怕的东西。 DiMino和Santorelli都指出,如今众所周知的蠕虫Conficker的兴起是近年来IT安全历史上最令人不安的时刻。

Santorelli说:“它是更令人不安的对等2对等僵尸网络之一,因为它很大,并且引起了媒体的轰动。” “但是最令人不安的是,我们实际上还没有看到它的用途。据估计,Conficker已经感染了互联网上数百万台机器,但实际上它还没有做任何事情许多人非常关心它的用途。”

DiMino补充说:“已经习惯于枚举成千上万的僵尸网络无人机,看到数百万个节点的僵尸网络迅速传播,这非常令人震惊。” “我们最初担心感染率和广泛传播,但是随后考虑如何使用这种僵尸网络尤其令人担忧。”

衡量成功

有关:
1 2 Page 1
第1页,共2页