返回新闻列表

本周专题:全球IT安全状况的改善是否已经足够?

卡巴斯基实验室全球研究与分析小组首席恶意软件专家Vitaly Kamluk

         每个月,成千上万的计算机加入僵尸网络。大部分僵尸网络被用来散播垃圾邮件或者可以用来进行网络间谍活动的恶意软件。还有一些僵尸网络则被用来执行DDoS攻击或者作为从事其它网络犯罪活动的代理服务器。

         无论是个人用户还是企业用户,僵尸网络已经成为一种主要的威胁。然而,我们迄今采取的对策就好比泥菩萨过河——自身难保。有人会认为,可以通过法律手段来保护我们。事实上,有关禁止未经授权访问远程系统的法律已经出台,也就是禁止第三方利用其它设备上的资源。然而,网络罪犯成功地钻了法律空子。他们利用系统中探测到的漏洞,实施犯罪,为所欲为。与此同时,尽管我们意识到打击僵尸网络的重要性,但是相关的法律条款却让我们在选择方式方法上举步维艰。

         目前,在互联网中,分布有超过53000个僵尸网络的指令控制中心(数据来源:www.umbradata.com),我们可以采取相应的措施,然而其发展却让人难以估计。很多情况下,我们可以知道这些控制中心的位置,因此,理论上我们可以联系到其所有者使用的互联网服务提供商,并让他们关闭控制中心或交由我们处理。但是,如果我们不考虑已经遭受感染的成千上万台设备还会继续攻击其它的设备,这种做法也许是正确的。我们还可以向一台僵尸机发送指令,让其启动自我毁灭机制,从控制中心开始,进而瓦解整个僵尸网络基础架构。不幸的是,这种做法本身属于未经授权的访问,发起这样的指令是不被允许的。

         显然,我们需要改变目前的困境,需要全世界的执法机构考虑采取以下的一些措施:

  • 通过僵尸网络执行大规模搜救行动;
  • 运用企业中的专家和研究团队,并针对特定的案件调查,提供他们必要的法律保障,以便取得更多的证据,或者在受到物理条件限制无法访问系统的情况下,瓦解恶意系统;
  • 在调查期间,可以使用感染系统中的资源,在受感染设备中设置诱捕方案,从而取得攻击者的源IP地址,并规避他们用来隐藏身份设置的机制;
  • 在没有其它替代方法的情况下,获得探测远程系统的法律许可。当然这种方式会导致网络谍战的爆发,但如果操作恰当,在特定的时间要求下,针对特定的系统、特定的案件,能产生积极的效果。甚至可以从根本上显著改变网络威胁的发展和境况。

欲了解更多关于僵尸网络以及如何瓦解僵尸网络的信息,请访问www.securelist.com