德瑞克斯等比博恩2015年,密碼鎖2014年,克利霍斯2012年,康菲克2009年……這些奇怪的名字都指的是巨大的殭屍網路– 或受感染電腦的網路 – 近年來已被拆除。這些反殭屍網路行動變得越來越頻繁,涉及越來越多的國家和國際參與者——警察、檢察官、主機、安全研究人員、網路服務提供者等。但這些行動是如何組織的呢?遇到的主要障礙是什麼?在 Botconf 2015 會議期間,我們有機會見到了一位安全研究員 John Bambenek,他參與了許多此類攻擊活動。他給了我們他的見解。
原則上,拆除殭屍網路首先包括禁用命令和控制(C&C)伺服器,它代表了結構中的主要元素殭屍網路。這通常涉及檢測他們使用的域名,然後聯繫相應的主機和註冊商。有時,網域名稱會作為靜態清單嵌入惡意軟體中。對惡意程式碼的分析使我們能夠掌握這些非法伺服器的身份。但網路犯罪分子已經開發出一系列技術,使任務變得更加複雜。
掩蓋踪跡的演算法
因此,大量的殭屍網路現在都配備了網域產生演算法(Domain Generation Algorithm,DGA)。該惡意軟體不是從靜態列表中提取數據,而是運行一種演算法來了解每天應該聯繫哪個網域。“例如,Conficker 每天產生 50,000 個域名,分佈在一千個註冊商中””,約翰·班貝內克強調。要獲得隱藏在這些名稱後面的伺服器,您必須先對該演算法進行逆向工程。“一旦這項工作完成,我們將生成未來兩年的域名,並聯繫主機以停用或捕獲它們”,研究人員解釋。
當 DGA 演算法具有預測性時,這種類型的操作有效,但有些演算法則不然。「在一種情況下,域名的計算是基於貨幣匯率,這顯然是無法預測的。然後我們必須尋找另一種方法。這是今天的大問題之一”,起訴約翰·班貝內克。
Tor 為殭屍服務
另一個困難是:基於Tor匿名網路的殭屍網路。一些駭客將其 C&C 伺服器安裝為隱藏的 Tor 服務,受感染的電腦將使用惡意軟體中嵌入的 Tor 瀏覽器進行聯繫。網路犯罪分子的優勢:即使您知道洋蔥位址,也無法找到相應的伺服器或主機。「然而,Tor 流量很容易被偵測到,因此很容易在企業中被封鎖。不幸的是,家庭中的情況並非如此,如今許多商用電腦都透過這些消費者連接進行連接。,研究人員解釋。
但也有積極的進展。因此,不同行為體之間的合作越來越好,尤其是歐洲和美國之間。「對俄羅斯來說,事情就更困難了。此外,俄羅斯駭客確保永遠不會感染俄羅斯的機器,以避免與警方發生問題。,指定約翰·班貝內克。但合作原則有時並不妨礙一些單獨行動。一個令人難忘的案例是微軟,該公司在 2014 年贏得了一項法院命令,禁止來自 DNS 服務提供者 No-IP 的所有流量。“微軟專家沒有進行風險分析。為了消除 50,000 個被盜域名,他們完全封鎖了數百萬與此事件無關的客戶。致命錯誤 »,研究人員解釋。就像什麼,打敗殭屍網路,首先是團結創造力量。
