近期發(fā)生了三起較有影響力的，業(yè)界聯(lián)手打擊僵尸網(wǎng)絡的事件。

一是歐美執(zhí)法部門聯(lián)合安全企業(yè)關閉了了辛巴達僵尸網(wǎng)絡的14臺命令控制服務器。該僵尸網(wǎng)絡半年業(yè)感染了全世界190國家的77萬臺計算機。

二是英特爾安全、卡巴斯基以及歐洲和美國的執(zhí)法機構聯(lián)合打掉了已經(jīng)存在6年的擁有3.5萬臺肉機的僵尸網(wǎng)絡“蜂骨”(Beebone)。

三是國際電信巨頭Level 3與思科直接把“SSH精神病”(Psychos)關進了黑洞。

但不幸的是，僵尸不死。

[[132651]]

9個月前，Akamai威脅研究小組在其博客上記錄了一個僵尸網(wǎng)絡的技術細節(jié)。這個僵尸網(wǎng)絡利用Joomla內(nèi)容編輯器插件的一個已知漏洞，上傳未授權的惡意文件。九個月后，研究小組還在繼續(xù)觀察這個僵尸網(wǎng)絡。

你也許認為作為一個有逼格的僵尸大人，本該默默地在黑暗世界游走，但卻被安全博客披露的體無完膚，應該無法再在這個圈子里混了。但恰恰相反，它不僅沒有逐漸銷聲匿跡，反而還繼續(xù)進化，侵蝕到了其他的內(nèi)容管理系統(tǒng)，比如WordPress。

那么，我們就只能看著這個毫不尊重互聯(lián)網(wǎng)秩序的惡棍繼續(xù)地肆無忌憚?僵尸的確不死，但那是在電影、電視上，互聯(lián)網(wǎng)上的僵尸會永生么?

僵尸概覽

這個僵尸網(wǎng)絡包含1037個肉機，均為互聯(lián)網(wǎng)上公開的網(wǎng)頁服務器，絕大部分運行著Joomla和WordPress。

盡管它算不上一只大型僵尸，但仍然能給如今的網(wǎng)絡環(huán)境帶來不小的威脅。從DDoS攻擊，到數(shù)據(jù)盜竊，再到網(wǎng)站掛馬、惡意鏈接，掃描網(wǎng)絡尋找肉機，進一步擴大感染。它使用分布式技術針對7800種網(wǎng)頁應用程序，以盡可能多的找到有漏洞的網(wǎng)站內(nèi)容管理系統(tǒng)。

通過對這只僵尸的分析，發(fā)現(xiàn)以下幾點主要特征：

1.不停的活動

盡管它的活動程度在下降，但它并沒有死掉，每天平均都有50臺肉機處于活動中。

2.隨著時間增長

有趣的是，雖然觀察到它的活動程度在下降，可是它實際上還在不斷的捕獲新的肉機，增加自己的體量。平均每天約有11臺肉機加入進來，即每個月360臺。

3.肉機的活動時間

基于Joomla的肉機平均是29天，其他網(wǎng)站平臺的服務器是10天。原因未知，但懷疑與Joomla漏洞的大規(guī)模利用有關。

4.JCE漏洞之外

除了JCE，還發(fā)現(xiàn)其他的平臺及其相關漏洞也是該僵尸網(wǎng)絡的對象：

· WordPressr圖片尺寸重設模塊TimThumb中的遠程文件包含(RFI)漏洞

· Open Flash Chart庫的遠程代碼執(zhí)行(RCE)漏洞

5.肉機壽命

9個月之前的肉機中，還有43臺機器還在進行惡意活動。這么長的生存時間不得不令人驚訝，因為現(xiàn)在的環(huán)境非常不利用肉機生存。如：

a) 該僵尸針對一個已曝光3年的漏洞，含有此漏洞的服務器應該都已經(jīng)升級了;

b) 對該漏洞的利用已經(jīng)廣為人知，況且這也不是第一個JCE漏洞;

c) 該僵尸網(wǎng)絡的活動非常明顯，毫不諱人，攻擊許多網(wǎng)站應用程序，因而很容易被檢測到。

6.肉機上的后門

發(fā)現(xiàn)某些肉機上有安裝后門的跡象，這些后門可以遠程控制肉機，完全的擁有這臺機器。后門的操縱者可以盜取肉機用戶的金融和個人信息，并發(fā)動針對其他服務器的各種攻擊。

總結

很不幸，僵尸網(wǎng)絡的故事無法終結。

僅僅對僵尸網(wǎng)絡和它的伎倆進行曝光，是無法阻止它的。而且，即使屏蔽掉它控制著的每一臺肉機也稱不上是非常有效的方法，因為它繁衍的更快。我們需要另外的解決方案。

一種方案是通過基于信譽的系統(tǒng)監(jiān)控所有的攻擊源，從而令安全操作人員能夠依據(jù)過去行為和行為分類來評估新出現(xiàn)的威脅。通過對網(wǎng)絡流量各因素的處理，如攻擊者的持續(xù)性，攻擊目標程序的數(shù)量，攻擊程度和造成的嚴重性，給其打分，以預測攻擊源的下一步行動或意圖，然后預先采取行動。

另一種方案則是本文開始的“SSH精神病”，找到攻擊源后直接從電信運營商級別把攻擊流量扔進黑洞。

但這兩種方案并不容易實現(xiàn)，首先信譽系統(tǒng)的建立和統(tǒng)一就是一個非常麻煩的事情。而直接與電信運營商合作，則關乎法律問題，更何況不是每個安全廠商都能夠方便自由的與電信聯(lián)合一起打僵尸的。

僵尸網(wǎng)絡利用的是漏洞，只要它咬上你一口，你便成為其中一份子，然后自動尋找下一個受害者。無論怎樣，它都會永遠繼續(xù)下去。除非它咬不到人，也就意味著一個沒有漏洞的互聯(lián)網(wǎng)。

很明顯，這是不可能的。

最新消息

2007年出現(xiàn)的“推動”(Pushdo)僵尸網(wǎng)絡，在承受了四次打擊圍剿之后，隨著一個最新的版本又重生了。目前，該僵尸網(wǎng)絡的感染范圍已到50個國家。