據(jù)來自舊金山的2013 RSA信息安全大會的消息，雖然聯(lián)合執(zhí)法摧毀僵尸網(wǎng)絡(luò)已經(jīng)司空見慣，可能甚至還有點兒沒勁，但在上周， 參加2013 RSA信息安全大會的安全專家，卻看到了僵尸網(wǎng)絡(luò)在現(xiàn)場被實時摧毀，這著實振奮人心。

Tillmann Werner是信息安全防御公司CrowdStrike的高級安全研究員，他現(xiàn)場實況演示了控制P2P僵尸網(wǎng)絡(luò)的過程，令與會者驚訝不已。當(dāng)Werner開始展示一些多數(shù)觀眾都無法破譯的簡短代碼時，這次展示的高潮部分開始了。Werner把展示切換到一張世界地圖，形象地展示了他與每一臺被感染機器的通信。在展示過程中，一個紅點變成五個，然后很快變成二十個。觀眾們鼓掌喝彩。

根據(jù)Drone Butcher的行動手冊：控制P2P僵尸網(wǎng)絡(luò)的現(xiàn)場演示，Werner展示了他利用sinkholing技術(shù)攻擊Kelihos僵尸網(wǎng)絡(luò)操作幕后的許多技術(shù)。實際上，可破譯的shinkhole替換了僵尸網(wǎng)絡(luò)命令中心與受其感染機器之間的通信。由于Kelihos僵尸網(wǎng)絡(luò)的P2P性質(zhì)，這個本身已經(jīng)非常復(fù)雜的任務(wù)就更加困難。

Werner說，我們認(rèn)為這個僵尸網(wǎng)絡(luò)很有挑戰(zhàn)性，因為它是P2P的。對付sinkholing就困難得多，因為沒有中央服務(wù)器。Werner首先演示了以前的Kelihos版本以及在每個版本被控制之后發(fā)生的事情。在kelihos A感染了5萬臺機器后，在2011年9月得到遏制。Kelihos B在大約三周后運行，在它感染了大約十二萬臺機器后，于2012年2月也最終被控制。

Werner展示中被摧毀的Kelihos 版本是Kelihos C，在前一個版本被拿下后，居然活躍了還不到20分鐘。Werner估計，在被2012年5月的一個有稍許變化的版本替換之前，Kelihos C已經(jīng)感染了大約四萬臺機器。

一位與會者問，為什么Kelihos每個版本出現(xiàn)得如此之快。Werner回答說，“他們從其它犯罪組織購買安裝，這當(dāng)然會很快了。”對執(zhí)法部門和反僵尸網(wǎng)絡(luò)的相關(guān)人員來說，雖然新生活中這種不斷重復(fù)的反復(fù)可能令人泄氣，但Werner說每一次擊垮僵尸網(wǎng)絡(luò)仍然會給犯罪組織帶來經(jīng)濟損失。他們通過一次一次地改造自己的僵尸網(wǎng)絡(luò)，可以做同樣的事情。但在他們每次做這些事情時，必須花費更多的錢。

但對一個僵尸網(wǎng)絡(luò)打擊成功，也不能宣告勝利。恰恰相反，必須準(zhǔn)備好基礎(chǔ)架構(gòu)，以應(yīng)對報復(fù)性反擊。Werner說，“你在消滅一種商業(yè)交易，而這些人不喜歡你這樣做。”

即使技術(shù)能力和人力可進(jìn)行這種操作，能否確保這種打擊合法還是問題。Werner所演示的攻擊要與許多不同的執(zhí)法部門和政府機構(gòu)等協(xié)作，其中包括FBI。此外，他告訴與會觀眾，進(jìn)行這種操作需要一種規(guī)避風(fēng)險的方法，這意味著在作出任何舉動之前需要咨詢大量的法律顧問。Werner 說，“我的意思是，這種操作是否合法，并不是我決定的。我會推測這樣做仍是合法的，但我們也可能置身于困難。”

作為攻擊之后的清理工作，互聯(lián)網(wǎng)服務(wù)供應(yīng)商和CERT要相互聯(lián)系，從而有助于對付殘余的受感染機器。微軟還會提供檢測功能作為它反病毒套件的一部分，在摧毀Kelihos B僵尸網(wǎng)絡(luò)的案例中，同樣的措施僅僅減少了50%的感染機器。Werner說：“我們希望這次會更成功，可以極大地減少感染數(shù)量，從而摧毀sinkhole。”