2009年是重要惡意軟件和在線惡意活動年份，原因很多，而其中數個都和Botnet僵尸/傀儡網絡有關。一個僵尸，或一個宿主，指的是受惡意軟件感染而遭犯罪份子從遠程操控的個人計算機。當犯罪份子運作網絡時，受操控的感染計算機從上萬到上千萬臺不等，犯罪份子們使用這些計算機來增強現今常見的網絡犯罪功能，如垃圾郵件散發，服務阻斷式攻擊(DDoS：Distributed Denial of Services)，恐嚇軟件(scareware)，網絡釣魚，及惡意或非法的主機網站等，涉及了所有網絡犯罪這塊大餅上所有的項目。

前半年度，Conficker 破壞程序(又稱Downadup或 Kido)占據了惡意軟件世界所有的頭條篇幅。最后Conficker僵尸網絡被發現是在進行標準的網絡犯罪內容，如利用宿主散發垃圾郵件及偽造的假防毒軟件(或恐嚇軟件)。 報導此攻擊爆發的熱潮與退燒同樣迅速，但可別以為這個威脅就這樣消失無蹤了。由安全軟件供貨商，研究人員和其它商業機構所組成的聯盟團隊，Conficker工作小組(Conficker Working Group)目前正在展示(currently showing)將近6百萬個特殊的IP，這些IP顯然都已遭此惡意軟件感染。

2009年度與僵尸軟件無關但卻相當重要的趨勢是社交網絡被惡意濫用的激增。在如Facebook臉書，Twitter和MySpace等社交網站上活躍的龐大使用者人口數量，對在線組織型犯罪提供了難以抵抗的誘因，進行宿主征募及偽造防毒軟件詐騙。Facebook就曾遭流氓自動程序濫用(abused by rogue Apps)，誘騙使用者點擊與廣告網絡結盟的聯結，讓制作聯結者因每一次的點擊而獲利。Facebook也曾被用來以許多不同方式散發惡意軟件，如張貼在涂鴉墻與信息中的惡意連結，特別設計用來入侵賬戶(hijack accounts)的惡意軟件，和從外部破壞入侵(external compromise )合法的Facebook自動程序。

Koobface家族的惡意軟件(也是僵尸網絡)在2009年間進化。剛開始時是利用惡意信息和墻面張貼方式夾帶偽造YouTube聯結，假設需要特別的譯碼器才能觀看影片。所謂的譯碼器當然是子虛烏有，只會造成賬戶的感染。不過Koobface現在已進化到可以自行制作偽造的Facebook個人檔案頁面(capable of creating its own fake Facebook profile)，并加入認證用的Gmail郵件賬號，個人照片及自傳等資料讓檔案看來更加逼真。這個假的賬戶接著便會去加入其它網絡并送出交友要求，而行所有這些動作都是自動化進的。

接下來就是開始好玩的地方了。除了散發垃圾郵件和惡意軟件，web 2.0網站在2009年間曾被以令人擔憂的新方式進行濫用。Twitter和Google Reader都曾被用在垃圾郵件散發攻擊中做為登陸頁面(used as the landing page)，企圖以此回避電子郵件的URL篩選。最近幾個月來，Twitter，Facebook，Pastebin，Google Groups，和Google AppEngine皆曾被運用做為僵尸網絡的代理操控中心伺服主機;上周更有報道(it was reported)指出Zeus僵尸網絡入侵破壞Amazon亞馬遜云端操控EC2的伺服。這些公眾論壇被設定來發布混碼指令，以便對全球散播僵尸網絡。這些指令通常包含更進一步的URL，讓宿主可接觸來下載指令或組件。

這些網站和服務的吸引力，來自于其提供了公開化，可提升，易取得且無需具名的方式以維護操控基礎架構，這些特色同時也更進一步降低了被傳統技術檢測出的機會。盡管網絡內容的檢測解決方案可輕易地在當受入侵的端點與已知不良網站(操控伺服)，或和可疑及有害的通路如IRC，溝通時檢測出問題;個人計算機通過port 80向Facebook臉書，Google，或Twitter等服務供應者提出標準的HTTP GET要求，甚至于1天多次，就過去安全紀錄來看都可認定是完全正常的運作。然而當僵尸網絡操控者和犯罪集團企圖讓他們的操控基礎架構消聲匿跡，混入因特網中尋常的白噪音中時，就不是這么一回事了。

2009年多數的創作皆環繞在僵尸網絡的操控系統，這件事并不是個巧合。舊式IRC操控的僵尸網絡絕大部份都在24小時內關閉，點對點的宿主通常會留下清楚可見的特征，造成計算機端的殲滅。我認為網絡犯罪份子正在評估Web 2.0僵尸網絡的一項操控因素，即如果仰賴單一供應者如Facebook或Google，當惡意Facebook網頁被關閉后，整個僵尸網絡也就被癱瘓掉了。僵尸網絡制作者投資了大量的時間和程序，來散布他們所管理的使用了即融(fast-flux)或點對點(peer-to-peer)協議的基礎架構。因為我們將會看到他們將教訓運用到更新的“云計算操控”僵尸網絡中。最新的Koobface變化版極有可能具備了多重自動化成型的個人檔案的能力，用來減緩因使用在單一供應者如Facebook或Twitter之個人檔案做為掩護，由于單點失敗所形成的效應。

每當談到僵尸網絡，都很希望能講出像“情況愈來愈有改善”的話。但事與愿違。愈來愈多的計算機皆受到感染，而被感染的時間也愈來愈長了。

【編輯推薦】

1. 揭秘：云計算與網絡安全的6個趨勢
2. 云計算是怎樣入侵統一通信領域的
3. 數據備份安全戰略：云安全、加密與數據銷毀