-
-
转帖:对P2P僵尸网络的战斗 – 不是一件容易的事
-
发表于: 2014-12-25 00:35
-
新闻链接:
新闻时间:2014-12-24
新闻正文:对P2P僵尸网络的战斗 – 不是一件容易的事
网络安全专家和法律秩序守护者最近在打击攻击集中式基础设施的僵尸网络方面取得了一系列成绩——比如,使用C&C服务器与“僵尸”交流,窃取用户数据或者发送命令等课题。消除僵尸网络的危害是更加困难的,这在一项新的研究中已得到证实。
来自德国国家网络安全中心、阿姆斯特丹自由大学和美国安全公司Dell SecureWorks以及Crowdstrike的专家小组跟踪P2P僵尸网络的发展,并对它们的可行性进行了评估。研究人员认为,第一代上述僵尸网络的基础设施,比如Waledac和Storm,远非完美,甚至说相当脆弱。它们的继承者,比如根据Sality或改良的P2P ZeuS制造的更善于吸引虚拟网络成员的sinkholing,采取境外植入或其他类似知名的方法实现控制。
有些配备了点对点基础设施的发达僵尸网络在几次围剿尝试中成功地生存了下来。这种富有生命力的一个突出的例子是Kelihos ,又名Hlux 。像许多其他“僵尸”一样,该款恶意软件主要用于发送大量邮件,但它们在进化过程中也学会了窃取全部犯罪分子可能感兴趣的东西,从个人标识符到比特币。最近Tillmann Werner展示了一个尝试中和僵尸网络的版本Kelihos,引起了RSA大会所有与会者的关注。
“面对清除和围剿,许多P2P僵尸网络比集中管理的僵尸网络要稳定的多,因为他们不具备独立的故障点。”研究人员在该报告中解释说。
在具备点对点基础设施的僵尸网络中,“僵尸”互相通信,并且不与主服务器通信。通常在这样的僵尸网络中使用定制穿刺数据,为了分析这种数据流需要解码。据专家说,大多数尝试确定P2P僵尸的努力都失败了。出于兴趣,研究专家建立了一个模型,能够防范来自恶意代码,以及来自sinkholing和无用的网络片段的分析。
为了掌握和控制僵尸网络的范围,研究人员推出了搜索机器人,并在网络中加入了特殊传感器。事实证明,一些僵尸网络可以控制超过一百万台受感染机器。不过,这个数字仍然是保守估计:因为搜索机器人并不能越过代理服务器和防火墙设置。
研究结果显示,最受保护的僵尸网络是基于Sality或P2P ZeuS改良的僵尸网络。Sality的可行性评估体系,在同行中建立了口碑,而ZeuS被誉为sinkhole服务器黑名单。其他僵尸网络为了安全使用备用C&C信道,IP地址动态重技术(fast flux)以及DGA -算法。近期使用的是TDSS/TDL-4,最近用的是Pushdo。
最容易遭受sinkholing的是Kelihos。在备份链路中,它的“僵尸机器人”使用fast-flux量域,属于硬编码备用范围。研究人员还发现,“僵尸机器人”的名单可以很容易替换,sinkhole地址遍布于僵尸网络。“有些建立在Kelihos v3基础上的僵尸网络,采用了P2P协议和架构,已知版本就有1和2,如果它们按照上述方案按sinkholing类型发起全面进攻,是很容易成功的。”专家们得出结论说。
相反,知名病毒Sality,则稳定地支持僵尸网络的游离。为了成功地完成其使命,sinkhole服务器必须在僵尸网络中建立无懈可击的声誉。Sality没有备用C&C,它通过使用以前下载的恶意文件的方式进行自我恢复。
ZeroAccess几乎每秒钟都会更新目标名单,并将它们与旧名单进行比对,最终确定256个最新地址。为了保持sinkhole地址的相关性,研究人员用自己的对话在文字上淹没了僵尸网络。像Sality, ZeroAccess这样的僵尸网络就会使用原先装入的插件进行自我恢复。
至于P2P僵尸网络ZeuS,它可以在离线情况下攻击目标。并可以向同行提供目标名单,以及其在sinkhole的IP地址。
最后,我想引用一个数字作为本文的结尾。据Damballa统计,过去一年来P2P僵尸网络的总数增加了5倍。有着最大使用人群基数的是ZeroAccess。
新闻时间:2014-12-24
新闻正文:对P2P僵尸网络的战斗 – 不是一件容易的事
网络安全专家和法律秩序守护者最近在打击攻击集中式基础设施的僵尸网络方面取得了一系列成绩——比如,使用C&C服务器与“僵尸”交流,窃取用户数据或者发送命令等课题。消除僵尸网络的危害是更加困难的,这在一项新的研究中已得到证实。
来自德国国家网络安全中心、阿姆斯特丹自由大学和美国安全公司Dell SecureWorks以及Crowdstrike的专家小组跟踪P2P僵尸网络的发展,并对它们的可行性进行了评估。研究人员认为,第一代上述僵尸网络的基础设施,比如Waledac和Storm,远非完美,甚至说相当脆弱。它们的继承者,比如根据Sality或改良的P2P ZeuS制造的更善于吸引虚拟网络成员的sinkholing,采取境外植入或其他类似知名的方法实现控制。
有些配备了点对点基础设施的发达僵尸网络在几次围剿尝试中成功地生存了下来。这种富有生命力的一个突出的例子是Kelihos ,又名Hlux 。像许多其他“僵尸”一样,该款恶意软件主要用于发送大量邮件,但它们在进化过程中也学会了窃取全部犯罪分子可能感兴趣的东西,从个人标识符到比特币。最近Tillmann Werner展示了一个尝试中和僵尸网络的版本Kelihos,引起了RSA大会所有与会者的关注。
“面对清除和围剿,许多P2P僵尸网络比集中管理的僵尸网络要稳定的多,因为他们不具备独立的故障点。”研究人员在该报告中解释说。
在具备点对点基础设施的僵尸网络中,“僵尸”互相通信,并且不与主服务器通信。通常在这样的僵尸网络中使用定制穿刺数据,为了分析这种数据流需要解码。据专家说,大多数尝试确定P2P僵尸的努力都失败了。出于兴趣,研究专家建立了一个模型,能够防范来自恶意代码,以及来自sinkholing和无用的网络片段的分析。
为了掌握和控制僵尸网络的范围,研究人员推出了搜索机器人,并在网络中加入了特殊传感器。事实证明,一些僵尸网络可以控制超过一百万台受感染机器。不过,这个数字仍然是保守估计:因为搜索机器人并不能越过代理服务器和防火墙设置。
研究结果显示,最受保护的僵尸网络是基于Sality或P2P ZeuS改良的僵尸网络。Sality的可行性评估体系,在同行中建立了口碑,而ZeuS被誉为sinkhole服务器黑名单。其他僵尸网络为了安全使用备用C&C信道,IP地址动态重技术(fast flux)以及DGA -算法。近期使用的是TDSS/TDL-4,最近用的是Pushdo。
最容易遭受sinkholing的是Kelihos。在备份链路中,它的“僵尸机器人”使用fast-flux量域,属于硬编码备用范围。研究人员还发现,“僵尸机器人”的名单可以很容易替换,sinkhole地址遍布于僵尸网络。“有些建立在Kelihos v3基础上的僵尸网络,采用了P2P协议和架构,已知版本就有1和2,如果它们按照上述方案按sinkholing类型发起全面进攻,是很容易成功的。”专家们得出结论说。
相反,知名病毒Sality,则稳定地支持僵尸网络的游离。为了成功地完成其使命,sinkhole服务器必须在僵尸网络中建立无懈可击的声誉。Sality没有备用C&C,它通过使用以前下载的恶意文件的方式进行自我恢复。
ZeroAccess几乎每秒钟都会更新目标名单,并将它们与旧名单进行比对,最终确定256个最新地址。为了保持sinkhole地址的相关性,研究人员用自己的对话在文字上淹没了僵尸网络。像Sality, ZeroAccess这样的僵尸网络就会使用原先装入的插件进行自我恢复。
至于P2P僵尸网络ZeuS,它可以在离线情况下攻击目标。并可以向同行提供目标名单,以及其在sinkhole的IP地址。
最后,我想引用一个数字作为本文的结尾。据Damballa统计,过去一年来P2P僵尸网络的总数增加了5倍。有着最大使用人群基数的是ZeroAccess。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
