卸下僵尸網絡或許會為你帶來有價值數據
研究人員希望在卸下Pushdo僵尸網絡(全球五大僵尸網站之一)的部件后,對僵尸網絡有個更好的了解。
Thorsten Holz, 德國Ruhr大學的計算機科學助理教授稱他的團隊正致力于一項學術論文,該論文旨在研究發現在電腦上發送特定垃圾郵件的惡意垃圾軟件的方法。
他們了解過許多主要的僵尸網絡,包括Mega-D,Rustock以及Pushdo和Cutwail,后兩種惡意軟件有時候很像是同一種個僵尸網絡的組成部分。
Holz稱他們發現Pushdo具備一種特殊性能,超過一半的命令和控制服務器都集中在一個托管公司。僵尸網絡使用命令和控制服務器向被感染的PC的發布指令,如更新垃圾郵件模板以及目標郵箱的地址以便發送垃圾郵件。
Pushdo的30服務器中有15個與托管供應商連在一起,托管供應商現在斷開了這些服務器冰與Holz及其團隊共享這些數據。他們的分析在不斷改善中,但是他們還有78G文本郵件地址沒有覆蓋到,大約40%的被感染電腦都在印度。這一結果令Holz頗為吃驚。
其他服務器中的數據應該更能清晰地顯示出Pushdo的工作原理。Holz說:“我們會分析所有日志數據,因為我認為我們可以對當今的垃圾郵件操作提供一個綜述。”
在擁有Pushdo命令和控制服務器的八個托管供應商中,有六個已經關閉了Pushdo。但是還有兩個兩個中國供應商沒有響應郵件請求來關閉Pushdo,甚至是沒有承認自己有收到相關投訴。雖然垃圾郵件的量已經下跌,但是運營商很有可能會重操舊業。
不過,Holz及其團隊現在已經可以分辨哪臺電腦感染了Pushdo。他們正在與互聯網運營商溝通,這樣這些運營商就可以識別哪些客戶的電腦被感染,并幫助客戶來清除被感染的部分。
雖然Pushdo運營商可能用剩下的仍然聯網的服務器來重組僵尸網絡,但如果我們可以識別被損害的電腦并清除被感染的部分,還是具有長遠意義的。
Holz認為識別哪臺帶你哪臺電腦被感染,然后修復這些電腦是與僵尸網絡斗爭的有效手段。在德國,政府發出了一項倡議,這項倡議涉及八個主要的網絡運營商,他們都會在發送郵件給客戶的時候告知其是否有可能感染僵尸網絡代碼。
Holz還是LastLine的高級威脅分析師,LastLine是一個學術性的安全公司,由法國的Eurecom研究所,Santa Barbara的加州大學和其他研究人員創立。該公司推出了許多用于分析惡意軟件和追蹤僵尸網絡感染的產品。LastLine掌握著一個巨型數據庫,數據庫中有網絡上的惡意內容以及一個能識別服務器上Pushdo感染的系統,它還能向托管營運商自動發送濫用通知。
該公司還生產了一些可以整合到思科網絡設備的訂閱資料,這些資料可用來攔截對被感染服務器的訪問。Holz稱其是另一個為托管營運商開發的,可用來識別被感染客戶電腦并自動發送威脅通知的工具。因為運營商可以用它來保持自己的網絡健康。
LastLine可以媲美其他專攻web安全和僵尸網絡的安全公司,如websense和Dambala。Holz稱LastLine會以其穩定的學術型資質和研究與其他公司競爭。
【編輯推薦】
