IronPort技術(shù)副總裁同時(shí)也是思科院士Patrick Peterson表示:“根據(jù)我們之前的研究,利用僵尸網(wǎng)絡(luò)的加拿大藥品網(wǎng)站按訂單售出的非法藥品背后有一個(gè)非常精明的供應(yīng)鏈�。但是到目前為止,專(zhuān)注技術(shù)的僵尸網(wǎng)絡(luò)負(fù)責(zé)人與全球供應(yīng)鏈組織之間的關(guān)系仍然不為人所知�。我們的研究表明��,Storm和其它僵尸網(wǎng)絡(luò)生成委托訂單��,然后由Spamlt.com或GlavMed等供應(yīng)商完成訂單����,這些發(fā)布信息的公司每年可以獲得超過(guò)1.5億美金的收入����。
IronPort的研究表明�,Storm僵尸網(wǎng)絡(luò)發(fā)布的郵件中有超過(guò)80%是網(wǎng)上藥店的廣告,比如CanadianPharmacy.com�����、TheCanadianMeds.com以及CanadianPharmacyLtd.com�。這些垃圾郵件通過(guò)多種社會(huì)工程詭計(jì)以及網(wǎng)絡(luò)數(shù)據(jù)搜索感染的數(shù)以百萬(wàn)計(jì)的個(gè)人電腦發(fā)送。進(jìn)一步研究表明����,與Strom(風(fēng)暴)惡意軟件合作的一個(gè)俄羅斯犯罪組織GlavMed提供了垃圾郵件模板、垃圾郵件廣告的網(wǎng)址����、網(wǎng)站設(shè)計(jì)��、信用卡處理、產(chǎn)品實(shí)現(xiàn)以及客戶(hù)支持�����。
GlavMed利用僵尸網(wǎng)絡(luò)垃圾郵件發(fā)送者來(lái)宣傳他們的非法藥品網(wǎng)站,后者將獲得銷(xiāo)售訂單額的40%作為傭金�����。GlavMed負(fù)責(zé)完成醫(yī)藥產(chǎn)品訂單�、信用卡處理以及客戶(hù)支持服務(wù)。但是�����,IronPort發(fā)起的一個(gè)藥品測(cè)試顯示:雖然這些藥品中有三分之二含有活性成分�����,但是劑量不準(zhǔn)確��,而其他部分則僅僅是安慰劑���。最后結(jié)果就是,消費(fèi)者服下了來(lái)自外國(guó)分銷(xiāo)商的未知物質(zhì)��,面臨很大的風(fēng)險(xiǎn)。
關(guān)于Storm僵尸網(wǎng)絡(luò)以及它與GlavMed供應(yīng)鏈之間的關(guān)系詳見(jiàn)IronPort的特別報(bào)告《2008年互聯(lián)網(wǎng)惡意軟件發(fā)展趨勢(shì):Storm僵尸網(wǎng)絡(luò)與社會(huì)工程的未來(lái)》。這份報(bào)告同時(shí)指出了一些惡意軟件感染寄主PC并跳過(guò)安全軟件的方法�����。這些方法包括:
- 網(wǎng)絡(luò)垃圾郵件��。復(fù)雜的僵尸網(wǎng)絡(luò)結(jié)合自動(dòng)以及手動(dòng)Captcha破壞程序來(lái)產(chǎn)生大量的網(wǎng)絡(luò)郵件賬戶(hù)。(“Capcha”表示區(qū)分計(jì)算機(jī)和人類(lèi)的全自動(dòng)公開(kāi)圖靈測(cè)試����。一個(gè)普通的“Captcha”測(cè)試需要有人輸入一系列扭曲的字母和數(shù)字來(lái)保證回答不是計(jì)算機(jī)生成的�����。)賬戶(hù)產(chǎn)生后��,僵尸網(wǎng)絡(luò)利用這些賬戶(hù)發(fā)送垃圾郵件信息,并且這些垃圾信息接收者以為這些信息源于合法ISP的郵件服務(wù)器��,而不是僵尸網(wǎng)絡(luò)。這些信譽(yù)盜竊式攻擊在2008年的第一季度占據(jù)了垃圾信息的5%����,而在上一個(gè)季度還不到1%�����。
- 利用Google搜索��。下一代惡意軟件利用Google的“手氣不錯(cuò)”搜索選項(xiàng)把用戶(hù)導(dǎo)向受感染網(wǎng)站。大約1.3%的Google搜索會(huì)把惡意軟件網(wǎng)站作為合法結(jié)果���。由于每分鐘都會(huì)有大量的搜索在進(jìn)行,這項(xiàng)功能是惡意軟件發(fā)布者的潛在巨大機(jī)會(huì)���。
- 郵件自動(dòng)回復(fù)功能。當(dāng)用戶(hù)啟用郵箱的自動(dòng)回復(fù)功能時(shí)�����,垃圾郵件散布者將能夠確定這些郵件地址是存在的�,而且使得垃圾信息發(fā)布者劫持此企業(yè)郵件服務(wù)器以看似合法的方式發(fā)送垃圾郵件。這種攻擊方式相當(dāng)新��,它體現(xiàn)了垃圾郵件發(fā)布者在尋求跳過(guò)垃圾郵件過(guò)濾器時(shí)非常精明����。
報(bào)告中研究的僵尸網(wǎng)絡(luò)的特別之處在于它們把垃圾郵件活動(dòng)和當(dāng)前事件或者牟利網(wǎng)站聯(lián)系起來(lái)�,并且通過(guò)郵件和網(wǎng)站結(jié)合來(lái)傳播。此外�,這些分散且高度協(xié)同的攻擊產(chǎn)生了多種多樣的網(wǎng)絡(luò)入侵����,從郵件與博客垃圾信息到網(wǎng)絡(luò)釣魚(yú)�����、即時(shí)通信(IM)攻擊以及分布式拒絕服務(wù)(DDoS)攻擊�����。
根據(jù)IronPort研究人員的說(shuō)法�����,Storm惡意軟件是此復(fù)雜社會(huì)工程趨勢(shì)的先驅(qū),在2008年1月和2月間累計(jì)影響了全球范圍內(nèi)四千萬(wàn)臺(tái)電腦���。在2007年7月的高峰期,Storm總共占據(jù)了垃圾信息總量的20%���,感染了140萬(wàn)臺(tái)電腦���。并且�,它每個(gè)月會(huì)繼續(xù)感染或者重新感染90萬(wàn)臺(tái)電腦�。截至2007年9月,生成Storm垃圾消息的同時(shí)活躍計(jì)算機(jī)的數(shù)量減少到每天28萬(wàn)臺(tái)�����,并且它發(fā)出的垃圾信息只占所有垃圾信息的4%�。目前����,Storm只占每天發(fā)送的1610億條垃圾信息的一小部分,但是Storm的變種仍然活躍����。
在評(píng)估這類(lèi)基于社會(huì)工程的攻擊帶來(lái)?yè)p害的同時(shí)�,此項(xiàng)報(bào)告詳細(xì)介紹了垃圾信息和病毒的可能的發(fā)展趨勢(shì)以及企業(yè)為保證其網(wǎng)絡(luò)安全所應(yīng)采取的措施����。垃圾信息已經(jīng)不僅僅是個(gè)人尋求榮耀的產(chǎn)物?�,F(xiàn)在����,它已經(jīng)變種為有組織�,有技術(shù)含量的��,有資金支持的行為,并且其規(guī)模在一定程度上可以和合法軟件生產(chǎn)商相媲美��。為了提高效率以及收益�,惡意軟件制造商甚至開(kāi)始以整套方案出售其產(chǎn)品,包括技術(shù)支持��、分析與管理工具以及軟件更新。近期發(fā)現(xiàn)的僵尸網(wǎng)路惡意軟件有Bobax��、Kraken/Kracken和Srizbi�。
為了阻止Storm及后續(xù)僵尸網(wǎng)絡(luò)的擴(kuò)散,IronPort的報(bào)告向每個(gè)公司推薦使用垃圾郵件過(guò)濾器����,評(píng)估其網(wǎng)絡(luò)信譽(yù)��,監(jiān)測(cè)端口以及通信活動(dòng),并保持所有的反病毒或者反惡意軟件產(chǎn)品時(shí)時(shí)更新�����。
