全球技术地图 创新丨前沿丨科普丨资讯 僵尸网络(Botnet)如今已经成为网络世界中最为严重的安全威胁之一。尽管许多网络安全人员都能轻而易举地摧毁僵尸网络,但是,如何阻止僵尸网络攻击如潮水般卷土重来,并最终揪出策划攻击的幕后黑手仍然是一项不小的挑战。犯罪者与黑客(某些黑客背后甚至有国家的资助)往往会通过遥控的方式,利用僵尸网络窃取信息、开展间谍活动乃至发动大规模信息战争,对整个现代社会造成严重破坏。 背景资料 僵尸网络拥有多种传播方式。攻击者可以扫描网络中所有的计算机,寻找系统中的软件漏洞来植入僵尸程序。此外,僵尸程序还会试图破解计算机密码来获取系统权限,部分较为简单的系统默认密码极容易遭到攻破。不仅如此,僵尸程序还会通过发送大量病毒邮件传播,通过一系列社会工程学技巧诱使接收者执行附件或点击链接,从而使接收者主机被感染成为僵尸计算机。僵尸网络一旦建立,便会开始窃取用户的个人隐私、财产信息甚至于关键的机密情报。僵尸计算机还能够在社交网络中转发信息,为谣言的传播推波助澜。除此之外,某些攻击者还会经由僵尸网络向第三方服务器发动大规模流量攻击,致使部分关键网络服务瘫痪。
严峻形势 僵尸网络不仅是网络犯罪分子手中的工具,还可能被用来窃取政府机密,甚至还有可能参与到网络战与信息战当中。近年来,僵尸网络已经成为部分“邪恶”国家资助下的网络活动的中心环节。
丹尼尔·霍夫曼 前美国中情局局长 “俄罗斯在近期的三起事件中动用了僵尸网络开展地下舆论攻势。首先,2017年8月Twitter中一个名为“#FireMcMaster”的话题显然是在诋毁美国国家安全顾问赫伯特·雷蒙德·麦克马斯特的名誉。其次,俄罗斯使用僵尸机器人干扰2016年美国大选已经是众所周知的事实。第三,部分北约成员国(特别是东欧国家)是俄罗斯僵尸网络攻击的重灾区。在俄罗斯的宣传口径中,西方世界的理念已经是摇摇欲坠——而美国正在百般阻挠俄罗斯在多极化世界中的“崛起”进程。 托德·罗森布伦 前美国国防部和国土安全部官员 “僵尸网络会对美国的网络,公共安全以及社会结构造成严重威胁。犯罪分子能够利用僵尸网络,以极快的速度传播虚假信息和恶意软件,开展网络诈骗活动。从日益猖獗的骚扰广告到破坏公共舆论的宣传攻势(正如俄罗斯对西方国家所做的那样),再到大规模的敌对性攻击,僵尸网络的危害数不胜数。不仅如此,由于僵尸网络极易操作,大量犯罪分子以及合法的商业机构都将它作为开展活动的手段。更不用说那些借助僵尸网络向西方国家发动攻势的国家(如俄罗斯)了。 应对措施 执法部门通常使用两种手段来打击僵尸网络——逮捕僵尸网络程序的制造者,以及捣毁僵尸网络运行所需的技术设备。
丹尼尔·霍夫曼 前美国中情局局长 “使用僵尸网络的不法分子往往十分狡猾,他们会对僵尸机器人进行伪装,使这些机器人看上去与正常的人类用户别无二致。因此,僵尸机器人能够掩盖起自己作为破坏分子的真实面目,渗透到网络空间的各个角落。起初,它们会伪装成普通用户,只在推文中使用一些常见的话题标签,在获得一定的关注度之后,这些机器人便会开始发布特定的宣传内容。社交网络与其它媒体网站的用户往往会在不知情的情况下转发这些内容,促使它们得到进一步传播。僵尸机器人的使用成本极低,是一个极其有效的地下宣传工具。想要捣毁僵尸网络,我们首先需要揪出操纵僵尸网络的“幕后黑手”——即僵尸程序的编写者以及宣传活动的策划者。但是,这实在是一项艰巨的挑战,敌对国家与不法分子往往精于躲藏,在隐匿自己行踪的同时将发动网络攻击的责任嫁祸于他人。许多社交网络用户眼中的“网友”也许仅仅是国外情报机构麾下冰冷的机器人程序。 目前,Sinkhole是打击僵尸网络的主流技术手段。Sinkhole一词意为“陷坑”,这一技术将传统僵尸网络中最为薄弱的一个环节——中心控制服务器作为目标。这些服务器通常会充当僵尸网络的所有者与被感染的僵尸计算机间的交流枢纽。在实施Sinkhole防御时,安全人员与执法部门首先会夺取控制服务器所使用的一个或多个网络域名的控制权,随后将来自僵尸计算机的通讯数据重新定向到自己掌管的服务器。这样一来,这些服务器就会如同一个“陷坑”一般,源源不断地接收并捕获僵尸网络中的数据。 Sinkhole服务器不仅能够阻止僵尸网络所有者向被感染的计算机发送指令,还可以帮助执法部门了解所有与服务器进行通讯的受感染计算机的情况,并记录下遍布世界各地的僵尸计算机的IP地址,从而确定僵尸网络的大致分布以及规模大小。Sinkhole技术还能帮助执法部门与受害者取得联系(无论是通过网络运营商还是直接告知),提醒他们已经遭到僵尸程序的感染,须及时采取补救措施。 对于执法部门而言,Sinkhole技术最为积极有效的应用手段是直接远程控制受害者的电脑,删除其中的恶意软件并安装补丁程序修复系统漏洞。不过,这样的操作意味着执法部门需要向陌生的电脑中安装新软件——从本质上来说,这也属于一种黑客行为。这种“入侵”有可能会在无意间对受害者电脑造成损害,也会招致公众对政府侵犯个人隐私的担忧。 虽然Sinkhole技术能够在一定程度上妨碍僵尸网络的运行,但是僵尸网络的所有者对此并非束手无策。他们可以将所有的僵尸主机彼此连接起来并且进行通信(这种网络结构被称为P2P僵尸网络),这样一来,中心控制服务器就变得不再必要,执法人员捣毁整个僵尸网络也将变得更加困难。除非网络的所有者在现实中遭到逮捕,否则僵尸网络将会持续更新换代,不断以更复杂的形态出现在世人面前。执法部门与僵尸网络所有者之间的这场“猫鼠游戏”将会永无止尽地上演。 “对僵尸网络的大规模打击行动会使网络环境变得更加紧张,并且驱使不法分子进一步转向地下活动。只对底层的犯罪者进行抓捕无异于小打小闹,针对处于犯罪网络顶层的僵尸网络生产与销售者进行大刀阔斧的打击才是更为行之有效的途径。从长远角度看,解决僵尸网络问题的最佳方案是在网络中加入检测僵尸机器人的自动防御机制。这一方案虽然不能确保万无一失,却能够在极大程度上净化网络环境,让那些高度复杂的恶意攻击行为无处遁逃。” 未来展望 执法部门与私人部门是否能够开展大规模国际合作将成为打击僵尸网络活动中的最大挑战。在目前的跨国僵尸网络犯罪中,受到牵连的服务器与受害者遍布世界各地,不同国家的法律对于犯罪者的处罚标准也不尽相同,如何在合作中解决组织、法律、外交等各方面的问题仍然是一项不小的难题。好在有关方面已经迈出了踏实的步伐,这种混乱局面将来一定会得到妥善解决。 2013年4月,美国联邦调查局网络司与其他政府部门展开合作,指挥“国家网络调查联合特遣部队”(NCIJTF)发动了代号为“净化”的特别行动,并于2013年6月成功捣毁了Citadel僵尸网络。(Citadel是规模最大的僵尸网络之一,共计感染了全球1100多万台电脑,其C&C(Command & Control,指挥与控制)服务器遍布北美,西欧和亚洲各地,对美国的经济安全与国家安全构成了严重威胁。) 此后,执法部门在捣毁大型僵尸网络的活动中所扮演的角色变得愈发重要。例如,美国司法部曾经根据新修订的《联邦刑事诉讼法》第41条中的规定,为执法部门授予了新的权限,使他们能够一次性获得多个管辖区内电脑的搜查令(这样一来,安全人员就可以自由地设立Sinkhole服务器),该举动最终帮助有关部门于2017年4月成功摧毁了Kelihos僵尸网络。 2017年11月下旬,在欧洲刑警组织网络犯罪中心的协调下,美国FBI还与德国执法部门开展密切合作,成功摧毁了Andromeda(又名Gamarue)僵尸网络。根据微软公司的监测数据,在Sinkhole服务器(取代了原有1500台的C&C服务器)建立后最初的48小时中,仍有来自223个国家的超过200万台受感染的计算机尝试与服务器取得联系,这些数字显示出Andromeda僵尸网络的庞大规模。在安全公司Recorded Future的帮助下,有关部门成功掌握了僵尸网络幕后黑手的真实身份——白俄罗斯人Jarets SergeyGrigorevich,并于2017年12月初将其逮捕。 托德·罗森布伦 前美国国防部和国土安全部官员 “国际合作对于发现并打击敌对僵尸网络的有着至关重要的作用。尽管非法僵尸网络在全球各地均有出现,但众所周知的是,部分东欧及前苏联国家宽松的网络环境能够为僵尸网络的产生与发展提供最好的温床。执法机构往往消息灵通,能够领导针对僵尸网络制作者以及非法使用者的抓捕行动。而政府情报部门则会优先打击国家资助下的网络不法分子——在这一过程中,外交手段与国际制裁具有同等的重要性。当然,公共机构与私人部门间的合作同样是成功打击僵尸网络的关键所在,二者只要各司其职,在各自的领域中保持警惕并及时做出反应,就能在与僵尸网络的战斗中无往不利。” 作者丨Levi Maxey 编译丨王燕处 |
|