返回新闻列表

卡巴斯基实验室发表关于僵尸网络经济链的分析文章

        领先的信息安全解决方案提供商——卡巴斯基实验室发表了新的分析文章:《僵尸网络的经济链》,该文章由卡巴斯基实验室的反病毒分析师Yury Namestnikov撰写,详细地分析了僵尸网络的现状以及其伴生的黑色经济链。

        僵尸网络指的是由一批受恶意软件感染的计算机组成的网络,它允许网络罪犯在用户不知情的情况下远程控制这些受感染机器。被感染的计算机受控于僵尸网络的控制中心,而控制中心一般通过IRC频道、网页连接或者其他一切可用的联网方式与受控计算机连接。僵尸网络制造者如果想要获利,必须组织足够多的受控计算机加入网络。通过僵尸网络获取的收入是与该僵尸网络的稳定性和增长率成正比的。

        僵尸网络制造者的收入来源包括DDoS攻击、窃取机密信息、发送垃圾邮件、网络钓鱼、搜索引擎作弊、广告点击欺诈以及传播恶意软件和广告软件。上述行为都是可盈利的,而且僵尸网络可以同时实施这些行为。

        僵尸网络是进行DDoS攻击的理想工具。这种攻击方式已经沦为进行不公平竞争或者网络恐怖主义示威的工具。在很多论坛上,甚至都可以看到公开组织DDoS攻击的广告。仅在2008年,互联网上就发生了大约190,000起DDoS攻击,而网络犯罪分子从中获利大约2千万美元。

        同时,僵尸网络制造者也会将目标瞄准储存在用户计算机上的机密信息。最有价值的数据包括信用卡账号、财务信息以及各种服务的密码,例如电子邮件、FTP以及即时通讯系统等等。网络犯罪分子对各种在线支付系统账号、网上商店账号以及那些并非同用户财务直接相关的个人数据同样感兴趣,因为他们可以通过这些个人数据伪造文件,用于开具假的银行账户或者进行非法交易等违法行为。窃取个人数据的费用直接取决于合法用户所居住的国家。例如,窃取一套完整的美国用户数据花费一般为5-8美元。而欧盟国家用户的数据在黑市上则比较值钱,通常是美国和加拿大用户数据价格的2-3倍。

        新的钓鱼网站正在被网络犯罪分子大规模地制作,他们还利用僵尸网络保护这些钓鱼网站不被关闭。僵尸网络可以提供快速的连续转换技术,允许网络罪犯每隔几分钟就更换一次钓鱼网站的IP地址,而其域名会保持不变。这有效地延长了钓鱼网站的存活期,使得钓鱼网站不容易被发现和关闭。这项技术会使用僵尸网络中的用户计算机作为含有钓鱼内容的网页服务器。通过网络钓鱼获得的收入同使用恶意程序窃取机密信息所获得的收入相当,年收入可以达到上百万美元。

        根据卡巴斯基实验室的数据,80%的垃圾邮件都是通过僵尸网络发送的。仅去年一年,垃圾邮件发布者仅通过垃圾邮件的发送就获利7.8亿美元。

        僵尸网络的另一个用途是恶意使用搜索引擎优化(SEO)。网站管理员使用搜索引擎优化(SEO)来提高其网站在搜索结果中的排名,排名越高,就意味着通过搜索引擎访问其网站的用户越多。

        由僵尸网络提供的资源还可以用来传播恶意程序和广告软件。很多提供在线广告服务的公司会为用户安装相应的软件并承担安全的费用。传播恶意程序的网络犯罪分子也使用同样的方法,为每一次恶意软件的安装付费。网络犯罪分子之间所进行的此类合作通常被称为“联盟网络”。使用PPC(点击付费广告)策略的在线广告代理商会对每次广告的点击支付广告费。僵尸网络拥有者可以通过制造大量点击的假象来欺骗广告公司,从而获取大额利润。2008年期间,在线广告的点击数量中有17%属于虚假点击,而虚假点击数量的三分之一则是由僵尸网络产生的。

        此外,文章作者重点谈到了要维持僵尸网络业务的正常运转,需要不断地有一定数量的新的受感染计算机补充到僵尸网络中,同时还要防止受感染计算机被反病毒产品检测到。而且,还要保证僵尸网络的控制中心不被发现。所有这些需求都需要网络罪犯投入一定的财力和时间。正因为如此,一些活跃的僵尸网络经常被用来出租和销售。

        目前,对抗僵尸网络最有效的方法是通过反病毒专家、互联网服务提供商以及执法机关之间的紧密合作。通过这些合作,已经成功关闭了三个提供僵尸网络公司,为别为:EstDomains、Atrivo以及McColo。其中McColo公司的服务器曾经为多个大规模垃圾邮件僵尸网络提供控制中心托管服务。它的关闭,使得互联网上的垃圾邮件数量骤减了50%。

        安全专家可以详细分析上千个僵尸网络的活动情况,反病毒产品可以在全球范围内检测和清理僵尸网络,但如果要想关闭控制中心并且抓住网络罪犯,只有靠执法机关的努力。只有这样,才能在一定时期内剿灭僵尸网络。但是,如果没有用户的协助,对僵尸网络的打击也不可能有效,因为正是千千万万的家用计算机构成了僵尸网络的大军。用户在使用计算机过程中,应该遵循基本的安全规则,不要大意,例如使用反病毒软件、选择强度较高的密码以及关闭可移动存储设备的自动播放功能等。

        阅读本文章的完整版,请登陆www.viruslist.com.

        在保证作者名称、公司名称以及引用来源不变的情况下,上述内容可以被复制。如若需进行改写,请联系卡巴斯基实验室市场部。