據(jù)來(lái)自舊金山的2013 RSA信息安全大會(huì)的消息，雖然聯(lián)合執(zhí)法摧毀僵尸網(wǎng)絡(luò)已經(jīng)司空見(jiàn)慣，可能甚至還有點(diǎn)兒沒(méi)勁，但在上周， 參加2013 RSA信息安全大會(huì)的安全專家，卻看到了僵尸網(wǎng)絡(luò)在現(xiàn)場(chǎng)被實(shí)時(shí)摧毀，這著實(shí)振奮人心。

Tillmann Werner是信息安全防御公司CrowdStrike的高級(jí)安全研究員，他現(xiàn)場(chǎng)實(shí)況演示了控制P2P僵尸網(wǎng)絡(luò)的過(guò)程，令與會(huì)者驚訝不已。當(dāng)Werner開(kāi)始展示一些多數(shù)觀眾都無(wú)法破譯的簡(jiǎn)短代碼時(shí)，這次展示的高潮部分開(kāi)始了。Werner把展示切換到一張世界地圖，形象地展示了他與每一臺(tái)被感染機(jī)器的通信。在展示過(guò)程中，一個(gè)紅點(diǎn)變成五個(gè)，然后很快變成二十個(gè)。觀眾們鼓掌喝彩。

根據(jù)Drone Butcher的行動(dòng)手冊(cè)：控制P2P僵尸網(wǎng)絡(luò)的現(xiàn)場(chǎng)演示，Werner展示了他利用sinkholing技術(shù)攻擊Kelihos僵尸網(wǎng)絡(luò)操作幕后的許多技術(shù)。實(shí)際上，可破譯的shinkhole替換了僵尸網(wǎng)絡(luò)命令中心與受其感染機(jī)器之間的通信。由于Kelihos僵尸網(wǎng)絡(luò)的P2P性質(zhì)，這個(gè)本身已經(jīng)非常復(fù)雜的任務(wù)就更加困難。

Werner說(shuō)，我們認(rèn)為這個(gè)僵尸網(wǎng)絡(luò)很有挑戰(zhàn)性，因?yàn)樗荘2P的。對(duì)付sinkholing就困難得多，因?yàn)闆](méi)有中央服務(wù)器。Werner首先演示了以前的Kelihos版本以及在每個(gè)版本被控制之后發(fā)生的事情。在kelihos A感染了5萬(wàn)臺(tái)機(jī)器后，在2011年9月得到遏制。Kelihos B在大約三周后運(yùn)行，在它感染了大約十二萬(wàn)臺(tái)機(jī)器后，于2012年2月也最終被控制。

Werner展示中被摧毀的Kelihos 版本是Kelihos C，在前一個(gè)版本被拿下后，居然活躍了還不到20分鐘。Werner估計(jì)，在被2012年5月的一個(gè)有稍許變化的版本替換之前，Kelihos C已經(jīng)感染了大約四萬(wàn)臺(tái)機(jī)器。

一位與會(huì)者問(wèn)，為什么Kelihos每個(gè)版本出現(xiàn)得如此之快。Werner回答說(shuō)，“他們從其它犯罪組織購(gòu)買安裝，這當(dāng)然會(huì)很快了。”對(duì)執(zhí)法部門(mén)和反僵尸網(wǎng)絡(luò)的相關(guān)人員來(lái)說(shuō)，雖然新生活中這種不斷重復(fù)的反復(fù)可能令人泄氣，但Werner說(shuō)每一次擊垮僵尸網(wǎng)絡(luò)仍然會(huì)給犯罪組織帶來(lái)經(jīng)濟(jì)損失。他們通過(guò)一次一次地改造自己的僵尸網(wǎng)絡(luò)，可以做同樣的事情。但在他們每次做這些事情時(shí)，必須花費(fèi)更多的錢。

但對(duì)一個(gè)僵尸網(wǎng)絡(luò)打擊成功，也不能宣告勝利。恰恰相反，必須準(zhǔn)備好基礎(chǔ)架構(gòu)，以應(yīng)對(duì)報(bào)復(fù)性反擊。Werner說(shuō)，“你在消滅一種商業(yè)交易，而這些人不喜歡你這樣做。”

即使技術(shù)能力和人力可進(jìn)行這種操作，能否確保這種打擊合法還是問(wèn)題。Werner所演示的攻擊要與許多不同的執(zhí)法部門(mén)和政府機(jī)構(gòu)等協(xié)作，其中包括FBI。此外，他告訴與會(huì)觀眾，進(jìn)行這種操作需要一種規(guī)避風(fēng)險(xiǎn)的方法，這意味著在作出任何舉動(dòng)之前需要咨詢大量的法律顧問(wèn)。Werner 說(shuō)，“我的意思是，這種操作是否合法，并不是我決定的。我會(huì)推測(cè)這樣做仍是合法的，但我們也可能置身于困難。”

作為攻擊之后的清理工作，互聯(lián)網(wǎng)服務(wù)供應(yīng)商和CERT要相互聯(lián)系，從而有助于對(duì)付殘余的受感染機(jī)器。微軟還會(huì)提供檢測(cè)功能作為它反病毒套件的一部分，在摧毀Kelihos B僵尸網(wǎng)絡(luò)的案例中，同樣的措施僅僅減少了50%的感染機(jī)器。Werner說(shuō)：“我們希望這次會(huì)更成功，可以極大地減少感染數(shù)量，從而摧毀sinkhole。”