風暴殭屍網路或稱為風暴蠕蟲殭屍網路,是一種受遠程控制的殭屍計算機(或直譯機器人網路)組成的網路。該網路是由暴風蠕蟲(一種通過垃圾電子郵件散播的木馬)連起來的。研究預測截至2007年9月為止,風暴殭屍網路至少藏身於1百萬到5千萬台計算機系統里某處默默運行。其他訊息來源則折衷風暴殭屍網路的大小約為25萬到1百萬台計算機。更保守一點的估計,一比特網路保全分析家宣稱他曾寫過一個軟體“爬”過殭屍網路,以此預測風暴殭屍網路控制了約16萬台受感染的計算機。風暴殭屍網路首度於2007年1月左右發現,當時風暴蠕蟲約占所有運行於微軟視窗平台計算機流氓軟體的8% 。
簡介
風暴殭屍網路已被用於各式各樣的犯罪行為。目前它的控制者以及風暴蠕蟲的作者仍未被查出。風暴殭屍網路已展示出防禦性的行為,顯示它的控制者正積極的保護殭屍網路,以避免種種追蹤或者終止該程式的嘗試。殭屍網路會針對某些試圖偵查它們的保全公司或者研究員進行攻擊。保全專家喬·史都華(Joe Stewart)透露在2007年晚期,殭屍網路操作者開始進一步的分散其運作,可能計畫將風暴殭屍網路部分賣給其他的操作者。同時期某些報告指出風暴殭屍網路正在收縮,然而許多保全專家報告說他們認為殭屍網路仍舊是線上主要保全威脅,而且考量殭屍網路身為銀行詐欺、個人信息竊取、以及其他電子犯罪方面的共犯,美國聯邦調查局仍將其列為網路保全重點對象。
2007年9月的報告指出殭屍網路已強大到足以將整個國家從網際網路上隔離。根據預測,它每秒運行指令的速度足以超過某些世界頂尖的超級計算機。然而,這並不是完全精確的比較。根據保全分析師詹姆士·透納(James Turner)說把殭屍網路與超級計算機拿來比較,就像拿狙擊手組成的軍團與核武器相比較一樣。英國保全公司馬歇爾(Marshal)的布萊德雷·安斯底斯(Bradly Anstis)說:“更值得擔憂的事是頻寬。只要算一下4百萬倍的標準ADSL連線。那是很大的頻寬,這讓我相當擔憂。有像那樣的資源在他們手上 — 分散在世界各地,高度密布於很多國家內 — 意味著他們可以對許多網頁暫存服務商投射非常有效的離散式攻擊。”
起源
風暴殭屍網路首度在2007年1月於網際網路被偵測到。它與其蠕蟲之所以得其名是因為一開始它用來感染宿主的email都有一行與風暴相關的標題,像“風暴侵襲歐洲,230人死亡。”後期聳動的標題如:“中國飛彈擊落美國飛機。”以及“美國國務卿康多莉扎·賴斯踹了德國總理安格拉·默克爾一腳。”信息安全專家們懷疑某些知名在逃的垃圾郵件大王,包括李歐·庫馬耶夫(Leo Kuvayev),可能參與或控制風暴殭屍網路的運作。科技專欄作家丹尼爾·汀南(Daniel Tynan),在他一篇以羅伯特·克靈居禮(Robert X. Cringely)作為筆名的著作寫道:很大部分風暴殭屍網路之所以存在的過失得歸因於微軟與Adobe Systems。其他研究指出,風暴殭屍網路取得犧牲品的主要方法是通過經常變換其社會工程體系來蠱惑用戶。根據派崔克·朗諾(Patrick Runald)的研究,風暴殭屍網路有強烈的美國事務焦點,因此多半在美國國內有幹員在其組織中工作並支持其運作。不過,某些專家相信風暴殭屍網路控制者群是俄羅斯人,特別是俄羅斯商業網路涉有重嫌。其根據是援引風暴軟體提到了對在莫斯科的卡巴斯基公司的憎恨,並且檔案里含括了個俄羅斯的單字"buldozhka",即“鬥牛犬”之意。
組成
機器人網路,或稱殭屍網路,是由微軟視窗作為其作業系統的計算機組成。一旦受到感染,機器就變成了殭屍計算機。該殭屍計算機便在計算機擁有者不知情或允許下逕自自動進行多種工作 — 包括任何從取得用戶數據、攻擊網站、到轉發傳染電子郵件的種種事務。預估約5千到6千台計算機是專門做通過電子郵件夾帶感染過的附屬檔案來繁殖擴散蠕蟲這件事。截至2007年9月,殭屍網路送出了12億條病毒信息,其中光在2007年8月22日的單日紀錄就達到5千7百萬條。根據計算機法學鑑識家勞倫斯·鮑德溫(Lawrence Baldwin)所言:“總合來說,暴風殭屍網路每天送出約10億條信息。它可輕易的再多加兩個零。”勾引受害者的方法之一是感染免費音樂網站,像提供如碧昂絲·諾利斯、凱莉·克萊森、蕾哈娜、老鷹樂隊、及一些當地知名藝人音樂免費下載的網站。而基於數字簽章為主的偵測(一種大部分計算機系統對抗病毒與流氓軟體感染主要防禦手段)因受到大量風暴蠕蟲變種的攻擊而阻礙其效能。
控制殭屍網路與風暴蠕蟲擴散的後台伺服器群自動對它們的擴散感染軟體以一小時兩次的速度重新編碼,作為新的傳播媒介。這種手段使得防毒軟體商終止病毒擴散及運作較為棘手。另外,控制殭屍網路的遠程伺服器比特置藏在一種固定變換DNS技術,叫做“快速通量”(fast flux)之後,使發現並攔截其宿主站與郵件主機更為困難。簡單來說,這群機器名稱與比特置常常輪換,往往是幾分鐘就換一次。風暴殭屍網路操作者通過點對點技術控制系統,讓外部查殺該系統更加不易達成。在風暴殭屍網路里並沒有中央“命令控制點”可以停止該網路。殭屍網路也利用加密流傳播。其感染個人計算機的辦法通常不外乎通過操弄使人們相信並下載夾帶病毒電子郵件的幾種實做里打轉。其中一個簡單的例子,殭屍網路控制者利用美國國家美式足球聯盟開賽周末,送出電子郵件謊稱提供“足球賽事追蹤程式”,事實上它除了感染用戶計算機以外什麼事都沒做。據MessageLabs的首席反垃圾郵件技術員麥特·斯爾金(Matt Sergeant)說:“以計算能力論,超級計算機終究不堪[殭屍網路]一擊。如果你把所有500台頂尖的超級計算機能力加起來,超級計算機群只能與兩百萬台殭屍網路機器匹敵。這些罪犯擁有可使用如此計算能力實在很可怕,然而我們可以反擊的部分實在有限。”保全專家們預估現在使用的只有全部風暴殭屍網路總容量與能力的10%到20%。
保全專家喬·史都華利用隔離考察中間系統被感染至加入殭屍網路的方式進一步揭露其過程:嘗試加入殭屍網路的任務是由參與對話中的計算機系統逐步運行一系列的EXE檔案。通常,這些檔案被按照順序命名,例如從game0.exe到game5.exe,或者類似檔名。它隨後繼續輪流激活運行檔。這些運行檔一般進行的任務如下:
game0.exe — 後門 / 下載器
game1.exe — SMTP轉發
game2.exe — Email 地址盜號器
game3.exe — Email 病毒擴散器
game4.exe — 分散式阻斷服務攻擊(DDos)工具
game5.exe — 更新過的風暴蠕蟲拷貝
在每個階段里,中間跳板系統將連上殭屍網路。快速通量DNS技術使得追蹤這個過程異常艱難。這代碼是從視窗系統 %windir%\system32\wincom32.sys 下通過系統核心rootkit運行,並且所有連回殭屍網路的連線都是通過修改過的eDonkey/Overnet通信協定達成。
方法論
風暴殭屍網路以及它的變種採用廣泛的攻擊方法,因而相對多樣的的防禦步驟亦同時存在。風暴殭屍網路不但受到其背後組織監視並自我防衛,它也會攻擊那些提供線上掃描被風暴病毒感染計算機的主機。殭屍網路會以拒絕訪問反擊以防衛它自己,藉此保持其內部一貫性。在過去某個時段,以前用來散播殭屍網路的風暴蠕蟲曾企圖在網際網路上釋放上百上千種它自己的版本,打算以一次密集性攻擊來壓垮防毒反流氓軟體保全公司的防衛線。根據IBM保全研究員約書亞·柯曼(Joshua Corman)指出:“這是我記憶中有史以來第一次看過研究員真的害怕去調查這個漏洞。”研究員們仍舊不確定殭屍網路的防禦及反擊是由程式自動激活的,或是該系統操作者手動運行的。“如果你試著給它綁個除錯器,或者對中繼站回報的站點進行查詢,殭屍網路馬上知道並立刻懲罰你。在SecureWorks事件後,殭屍網路中一小塊直接拒絕訪問服務某研究員並把他拿下網。每一次我聽到某個調查站試著要查這檔事,他們會自動被懲罰。它知道它自己被調查,並懲罰他們。它進行反擊。”柯曼補充道。
Spameater.com 以及其他站像 419eater.com 與 Artists Against 419,都是對抗419電子垃圾郵件詐欺的網站,他們都曾經歷過DDoS攻擊,造成被攻擊站點暫時完全無法運作。DDoS攻擊包括進行大量的同時網路請求到這些或者其他目目標IP位址群,造成伺服器負載過荷並阻塞主機回應請求[36]。其他反垃圾反詐欺的集團,如spamhaus Project,也遭受到攻擊。Artist Against 419網站網管表示該站倒站前伺服器達到每小時4千億位元組數據量(400gbits/h),相當於約300台ADSL連線機器同時持續不斷的上載攻擊流量,並每台必須達到其頻寬最大理論值每秒30萬位元組(300kbit/s)。鑒於理論值現實上永不可能達到,當時動員的機器可能兩倍多,並且類似做案方式發生在一打以上的反詐欺網站上。一比特垃圾信件研究員陳杰夫說:“在打擊風暴殭屍網路的觀點上,從好的方面看是艱巨,從壞的方面看是不可能,因為這些壞蛋控制了數以百計百萬比特(megabits)的流量。某些證據顯示他們可能控制了上以百計十億比特(gigabis)的流量,這種流量足以將某些國家整個從網際網路驅離。”
風暴殭屍網路的系統也在受害人計算機系統本地端採取步驟防衛它自己。在某些中間系統里,殭屍網路在視窗機器下創造了某個計算機進程;無論何時一個新程式或者其他進程開始運行該進程都會告知風暴系統。在之前,風暴蠕蟲在本地端僅僅只會告訴其他程式 — 如反毒反流氓程式 — 不去運行。然而,根據IBM保全研究指出,現在版本的暴風蠕蟲不過“愚弄”本地系統以為敵方程式正常運行無誤,不過實際上,它們什麼都不做。“程式,不單包括可能觸發訪問違規的exe檔、dll檔、與sys檔,亦包括軟體像P2P應用程式BearShare以及eDonkey都將看起來順利運行,即使他們並不實際上做什麼事,這種方式遠遠比起一個進程受到外面影響突然間終止那種做法較不容易讓人起疑。”Sophos公司的理查·科函(Richard Cohen)道。中間系統的用戶,以及相關的保全系統,將會假定保全軟體跑得好好的,實際上陽奉陰違。
2007年9月17日,一個美國共和黨的網站被當作中繼站來散播風暴蠕蟲與殭屍網路。2007年10月,殭屍網路利用YouTube里郵件系統里Captcha應用程式的漏洞,遞送垃圾郵件到Xbox擁有者,假意欺騙他們有機會贏得最後一戰3電子遊戲特別版。其他攻擊方式像利用人們喜歡可愛或者新奇事物的心理,例如微笑的小貓動畫、跳舞的骷髏圖片以取得人們點擊木馬程式下載,還有蠱惑雅虎地球村服務的旗下用戶下載軟體,因為信件假稱地球村本身需要用到它。趨勢科技的保羅·佛古森(Paul Ferguson)特別針對地球村的那次攻擊稱之為“充分準備的入侵感染”,並牽涉到俄羅斯商業網路—一個知名的垃圾郵件與流氓軟體服務組織—的成員。2007年聖誕夜,風暴殭屍網路開始送出有針對男與女“性”趣假期專題信息,像“找個美豚過剩蛋”(Find Some Christmas Tail)、“聖誕12女(The Twelve Girls of Christmas)”、“耶誕老婆今晚上門!(Mrs. Claus Is Out Tonight!)”、以及媚惑的女性照片。這種方式被描述為企圖在假期期間勾引更多未保護系統加入殭屍網路以拓展其規模,而此時相對的網路保全商的保全更新可能得花較長時間才能部署完畢。在聖誕節脫衣舞娘郵件散播後隔天,風暴殭屍網路操作者立刻開始送出新一輪電子郵件,宣稱希望他們的收件人都“2008年新年快樂”。
在2008年1月,殭屍網路首度被偵測到跟釣魚網站攻擊主流金融機構掛勾,此次的目標是巴克萊銀行與海利發克斯銀行。
加密與銷售
2007年10月15日左右,研究顯示部分風暴殭屍網路及其變種上市待售。這交易可通過使用特製的保全金鑰對殭屍網路流量與信息加密進行。該特製金鑰允許與其相匹配的風暴殭屍網路的每個部分、或者子區域進行聯繫。然而如果金鑰有特定長度與簽名的話,這種方式在未來將可使他人偵測、追蹤、並且封閉風暴殭屍網路的流量,計算機保全公司Sophos同意,將風暴殭屍網路進行細切,可以猜測為是它準備轉售其服務的徵兆。Sophos的葛拉漢·庫雷(Graham Cluley)說:“風暴殭屍網路對加密流的使用,是引起我們實驗室注目的有趣功能。它最有可能的用途,是提供電子罪犯租用部分的網路以作為其濫用所需。如果網路被這些人用來做垃圾郵件、分散式阻斷服務攻擊、以及其他惡意用途,我們都不會感到驚訝。”保全專家們表示,如果風暴殭屍網路被流氓軟體市場所切割,以“立即可用+殭屍網路製作+垃圾郵件包”形式發行,世人將會看到風暴殭屍網路相關感染與中繼計算機系統數量急遽的增加。金鑰加密功能僅僅存在於2007年10月第二周以後成為風暴殭屍網路中繼系統的計算機。這意味著要被追蹤與屏閉在這段時間之前成為中繼計算機的系統仍舊困難重重。
在風暴殭屍網路這部分被發現的幾天內,來自新子區段的垃圾郵件已被各大保全公司所揭露。於10月17日晚間,保全公司開始看到新的垃圾郵件內嵌了MP3音樂檔,而該信企圖欺騙受害者去投資細價股,以作為非法炒股詐欺的一部分。研究相信此次是前所未見、首度利用實際的音樂檔案以愚弄受害者的垃圾電子郵件欺詐案例。然而,幾乎不像所有其他的風暴殭屍網路相關的電子郵件,這些新的音樂-股票欺詐信息並沒有包括任何病毒或者風暴殭屍網路流氓軟體酬載;它完全不過是股票欺詐的一部分。
2008年1月,殭屍網路首度被偵測出與針對主要金融機構用戶的釣魚網站攻擊掛勾。瞄準的歐洲銀行機構包括:巴克萊銀行、海利發克斯銀行、以及蘇格蘭皇家銀行。F-Secure這些攻擊載台套用特製金鑰,此表示用於攻擊的殭屍網路區段是租來的。
現狀
2007年9月25日,據預測微軟對視窗惡意軟體移除工具(MSRT)中的一個更新可抑制殭屍網路的規模最多達20%。微軟宣稱,新的修補程式從二百六十萬台掃描過的視窗系統中274,372台移除風暴蠕蟲。不過,根據微軟資深保全人員所說:“超過180,000已被MSRT清理乾淨的機器,它們很可能打從第一天開始就是家用機器,意思就是不活躍參與‘風暴殭屍網路’每日的作業。”這間接指出MSRT清理可能只是象徵性能採取的最好行動。
2007年10月末,某些報告指出風暴殭屍網路已經正在失去其暨有規模,並且數量顯著的減少。聖地牙哥加利福尼亞大學的保全分析師布蘭登·恩來(Brandon Enright)估計殭屍網路截至10月末已經掉到約160,000台中繼系統,與他於2007年7月預測的約1,500,000台系統相比較。不過,恩來註明:殭屍網路的組合時常變動,而且它仍舊主動的自我防禦外來的攻擊與監測。“如果你是個研究員並且你造訪流氓軟體宿主網頁太多次...那么一個自動進程將自動對你投射拒絕訪問攻擊。”他說道,並且隨後補充了他的研究使得風暴殭屍網路攻擊聖地牙哥加利福尼亞大學,造成該校部分的網路癱瘓無法上網。
計算機保全公司McAfee表示風暴蠕蟲很可能是未來攻擊的基礎。之前發現Mydoom蠕蟲的著名保全專家克雷格·雪姆加(Craig Schmugar)稱風暴殭屍網路是趨勢設立者,其行為引領了罪犯們利用更多類似的策略。這類殭屍網路的衍申之一被賦予“垃圾郵件幫派名人”的稱號,肇因於他們使用與風暴殭屍網路控制者類似的技術工具。然而,不像過去風暴操作者使用來勾引犧牲品的複雜社交工程那樣,垃圾郵件幫派名人承散播影視名人(如安吉麗娜·朱莉與布蘭妮·斯皮爾斯)的裸照之便。思科系統保全專家在報告中指出他們相信風暴殭屍網路在2008年依然是個嚴重威脅,並且說他們預測其規模仍保持在“上百萬台”。
於2008年年初,在其黑帽經濟體系下運作的風暴殭屍網路也碰到了其商業上的競爭對手:努哈赤(Nugache)組織,它是另一個類似的、首度於2006年被鑑識出來的殭屍網路。報告指出介於兩者殭屍網路操作者為其電子郵件遞送服務銷路的價格戰可能暗潮洶湧。隨著介於2007-2008年聖誕節與元旦假期間,德國 Honeynet 計畫研究者報告指出風暴殭屍網路可能會在該期間最多擴展其 20% 的規模。MessageLabs Intelligence於2008年3月的報告預測所有網際網路上的垃圾電子郵件總數超過20%來自於風暴殭屍網路。