德里克斯等比博恩2015年,密码锁2014年,克利霍斯2012年,康菲克2009年……这些奇怪的名字都指的是巨大的僵尸网络– 或受感染计算机的网络 – 近年来已被拆除。这些反僵尸网络行动变得越来越频繁,涉及越来越多的国家和国际参与者——警察、检察官、主机、安全研究人员、互联网服务提供商等。但这些行动是如何组织的呢?遇到的主要障碍是什么?在 Botconf 2015 会议期间,我们有机会见到了一位安全研究员 John Bambenek,他参与了许多此类攻击活动。他给了我们他的见解。
阅读:拆除盗取数千万欧元的僵尸网络 Dridex
原则上,拆除僵尸网络首先包括禁用命令和控制(C&C)服务器,它代表了结构中的主要元素僵尸网络。这通常涉及检测他们使用的域名,然后联系相应的主机和注册商。有时,域名会作为静态列表嵌入到恶意软件中。对恶意代码的分析使我们能够掌握这些非法服务器的身份。但网络犯罪分子已经开发出一系列技术,使任务变得更加复杂。
掩盖踪迹的算法
因此,大量的僵尸网络现在都配备了域名生成算法(Domain Generation Algorithm,DGA)。该恶意软件不是从静态列表中提取数据,而是运行一种算法来了解每天应该联系哪个域名。“例如,Conficker 每天生成 50,000 个域名,分布在一千个注册商中””,约翰·班贝内克强调道。要获得隐藏在这些名称后面的服务器,您必须首先对该算法进行逆向工程。“一旦这项工作完成,我们将生成未来两年的域名,并联系主机以停用或捕获它们”,研究人员解释道。
阅读:FBI 捣毁了俄罗斯黑客运营的庞大僵尸网络
当 DGA 算法具有预测性时,这种类型的操作有效,但有些算法则不然。“在一种情况下,域名的计算是基于货币汇率,这显然是无法预测的。然后我们必须寻找另一种方法。这是今天的大问题之一”,起诉约翰·班贝内克。
Tor 为僵尸服务
另一个难点是:基于Tor匿名网络的僵尸网络。一些黑客将其 C&C 服务器安装为隐藏的 Tor 服务,受感染的计算机将使用恶意软件中嵌入的 Tor 浏览器进行联系。网络犯罪分子的优势:即使您知道洋葱地址,也无法找到相应的服务器或主机。“然而,Tor 流量很容易被检测到,因此很容易在企业中被阻止。不幸的是,家庭中的情况并非如此,如今许多商用计算机都通过这些消费者连接进行连接。,研究人员解释道。
但也有积极的进展。因此,不同行为体之间的合作越来越好,尤其是欧洲和美国之间。“对于俄罗斯来说,事情就更困难了。此外,俄罗斯黑客确保永远不会感染俄罗斯的机器,以避免与警方发生问题。”,指定约翰·班贝内克。但合作原则有时并不妨碍一些单独行动。一个令人难忘的案例是微软,该公司在 2014 年赢得了一项法院命令,禁止来自 DNS 服务提供商 No-IP 的所有流量。“微软专家没有进行风险分析。为了消除 50,000 个被盗域名,他们完全屏蔽了数百万与此事件无关的客户。致命错误 »,研究人员解释道。就像什么,打败僵尸网络,首先是团结创造力量。