Botnet — Review and Outlook 2012 (Chinese)殭屍網絡 — 回顧和前瞻 2012

作者: 梁兆昌

刊於 《IT Pro 2012年1月》

每年在這個時候,媒體總是充滿了回顧和前瞻。有關資訊保安的前瞻是最容易的事,祇要重新包裝2011年的預測,重新命名為2012年的就大概可以。毫無疑問,雲端計算、移動技術和社交網絡服務,仍然是新的保安威脅的重點。不過,我想寫點在資訊保安之中不是很多人都留意,又值得表揚的事。

2011  — 網絡犯罪分子很糟糕的一年

大家知不知道2011年是一個網絡犯罪分子很糟糕的一年?他們面對外圍的威脅很多,生意不如以前順景。原來,殭屍網絡 — 網絡犯罪分子的技術和管理平台,在2011年被各方窮追猛打,有些甚至被連根拔起,令到互聯網在過去一年,相對安全起來。

殭屍網絡是一些被網絡犯罪控制的電腦,他們利用這些電腦,提供「罪惡雲端服務 (Crime-as-a-Service)」。任何人祇要支付費用,就可以向壞傢伙非法買到信用卡號碼、用戶密碼、發放垃圾郵件、寄存釣魚網站和發動DDoS攻擊,大大影響互聯網的安全。殭屍網絡分散世界各地,受感染電腦和指揮與控制中心 (C&C) 用加密通訊,難被發現,而且C&C一旦被發現,很容易轉換,令執法者非常頭痛。

聯合行動  打擊殭屍網絡

自2010年開始,不同地區的執法者、CERT、保安軟件商、保安研究人員、ISP等聯合起來,誓要撲滅殭屍網絡。

在2011年3月16日,代號「B107」聯合行動把擁有100萬殭屍電腦的 Rustock 殭屍網絡 關閉。參與行動的有微軟、FireEye和華盛頓大學的研究員、Pfizer藥廠,CERT (包括中國 CNCERT/CC) 和一些ISP。Rustock每天平均產生400億個垃圾電郵,Symantec指互聯網一半垃圾電郵是由它產生,這些垃圾電郵販賣軟件、假藥等物品。首先,因為Rustock的垃圾電郵使用微軟的商標吸引人們到抽獎詐騙,微軟以涉嫌「非法入侵、侵犯知識產權,和大量傳播非應邀電子郵件,損害微軟和公眾」入稟,為免C&C 逃到他處,一切都是秘密進行,得到法院命令後,執法人員接觸C&C所屬的ISP,跨境的多個機構約定同時行動,成功取下所有C&C電腦。根據 Spamhaus.org 資料,取下Rustock後,由它引起的垃圾電郵由600億個下跌,至幾乎完全消失 (圖1)。

圖1 全球垃圾電郵流量評估

來源:http://www.symantec.com/connect/blogs/rustock-takedown-s-effect-global-spam-volume

 微軟利用民事訴訟法律手段對付殭屍網絡,因為民事訴訟沒有刑事的無罪推定假設,使網絡犯罪的風險更大。此外,微軟設立 Sinkhole 假扮 C&C,收集Rustock殭屍電腦的IP地址。

在2011年4月13日,代號「Adeona」的聯合行動取下了 Coreflood殭屍網絡 。這個殭屍網絡有200萬台電腦,被利用來發送垃圾郵件,竊取個人密碼和其他個人和財務信息。美國的FBI和司法部發出搜令查封Coreflood的C&C,國際組織ISC (www.isc.org) 安裝C&C的替身,搜集受影響用戶IP地址,通過ISP知會用戶,使用最新的微軟MSRT惡意軟件移除程式,移除Coreflood。在美國受Coreflood感染的電腦,在幾天內由80萬下降至10萬 (圖2)。

圖2 美國受Coreflood感染的電腦數量

來源:http://www.wired.com/threatlevel/2011/04/coreflood_results/

有趣的是,美國法院容許ISC向殭屍電腦發送KILL命令,暫時停止殭屍程式,方便防毒軟件辨認殭屍程式。一般來說,這個做法會被視作未經授權入侵他人電腦,改變 (損壞) 其內容,是於法不容的。有人問,下一步會否直接將殭屍程式解除安裝?

在2011年9月26日,代號「B79」的聯合行動取下了 Kelihos 殭屍網絡 。這個殭屍網絡專門被用來做 DDoS,發放垃圾電郵,推銷售賣假冒產品。它採用P2P和加密通訊模式,不能簡單地取去C&C。微軟向法庭申請命令取下殭屍網絡的域名,Kaspersky Lab 則提供Sinkhole,讓殭屍連接。

在2011年11月8日,在代號「Ghost Click」的聯合行動中,美國FBI、愛沙尼亞警方、趨勢科技合作,取下了歷史性的超過400萬台機的 DNS Changer殭屍網絡 (註一)。這個殭屍網絡的特性是悄悄地修改電腦的設置,去使用惡意的DNS服務器,受害者可能被重定向到惡意網站而全不察覺。

回顧2011,執法機關、CERT、研究人員和資訊保安服務供應商的衷誠合作應該予以肯定,尤其是微軟的Digital Crimes Unit (DCU) 在取下殭屍網絡方面,提供訊息交換和協作的平台和法律支援,應予表揚。而取下殭屍網絡後留下大量未清洗的殭屍電腦,仍有賴各地方的CERT等組織,協助事主進行清理。

展望2012

展望2012,上述的協作應該更加緊密,但是網絡罪犯不會坐以待斃,正如著名的保安研究員 Gunter Ollman 指出 (註二) ,他們會投資在更強大的犯罪軟件分銷技術和服務上,每天感染超過1萬台電腦,以抵銷失去經營多年的殭屍網絡的邊際損失。殭屍網絡 C&C將變得更加靈活,在域名、IP地址和物理位置之間飛來飛去,這種靈活性從以週計算,邁向以小時計算。又會繼續通過使用商業匿名VPN服務、部署C&C的代理服務器增強偵察難度。在2012年,我們可以預計是網絡犯罪分子和正義聯盟正面交鋒的日子

(註一) Esthost Taken Down – Biggest Cybercriminal Takedown in History
http://blog.trendmicro.com/esthost-taken-down-biggest-cybercriminal-takedown-in-history/

(註二) Botnet hard to takedown
http://blog.damballa.com/?p=1461

Comments are closed.