最近发生了三起有影响力的行业联手打击僵尸网络事件。
首先,欧美执法机构和安全公司关闭了辛巴达僵尸网络的14台指挥控制服务器。半年来,僵尸网络已经感染了全球190个国家的77万台计算机。
第二,英特尔安全部门、卡巴斯基以及欧美执法机构联合销毁了拥有35000台肉机的6年僵尸网络“Beebone”。
三是国际电信巨头Level 3和思科直接把“SSH意淫”打入黑洞。
不幸的是,僵尸不会死。
九个月前,Akamai威胁研究小组在其博客上记录了一个僵尸网络的技术细节。该僵尸网络利用Joomla内容编辑器插件的已知漏洞上传未经授权的恶意文件。九个月后,研究小组继续观察这个僵尸网络。
你可能会想,作为一个有强迫症的僵尸,本应该在黑暗的世界里默默行走,却被安全博客揭露的体无完肤,你不应该在这个圈子里混不下去。相反,它非但没有逐渐消失,反而继续进化,侵蚀了其他内容管理系统,比如WordPress。
那么,我们只能眼睁睁看着这个不尊重互联网秩序的小人继续肆无忌惮吗?僵尸不会死,但在电影和电视里是这样的。互联网上的僵尸会长生不老吗?
僵尸概述
这个僵尸网络包含了1037台肉机,全部都是互联网上开放的web服务器,大部分都在运行Joomla和WordPress。
虽然不是什么大僵尸,但还是能对如今的网络环境造成很大的威胁。从DDoS攻击到数据窃取,再到网站挂马和恶意链接,扫描网络寻找肉机进一步扩大感染。它使用分布式技术来定位7800种网络应用程序,以便找到尽可能多的易受攻击的网站内容管理系统。
通过对这个僵尸的分析,我们发现了以下主要特征:
1.不间断的活动
虽然它的活跃度在下降,但它并没有死,每天都有50台肉机在运转。
2.随着时间的增加
有趣的是,虽然观察到它的活动水平在下降,但它实际上在不断地捕捉新的肉机,增加体重。平均每天加肉机11台左右,也就是每月360台。
3.肉类加工机的活动时间
基于Joomla的肉机平均用时29天,其他网站的服务器平均用时10天。原因不明,但怀疑与大规模利用Joomla漏洞有关。
4.超越JCE的脆弱性
除了JCE,其他平台及其相关漏洞也被发现是该僵尸网络的目标:
WordPress R图片大小调整模块TimThumb中的远程文件包含(RFI)漏洞
openchart库的远程代码执行(RCE)漏洞
5.绞肉机的使用寿命
9个月前,43台肉机还在进行恶意活动。这么长的生存时间不得不让人感到惊讶,因为现在的环境并不使用肉食机来生存。例如:
a)这个僵尸针对的是一个已经暴露了3年的漏洞,所有包含这个漏洞的服务器都应该已经升级了;
b)利用此漏洞是众所周知的,这不是第一个JCE漏洞;
c)这个僵尸网络的活动非常明显,攻击很多网站应用,很容易被发现。
6.肉类加工机后门
发现有些肉机有安装后门的迹象,可以远程控制肉机,完全拥有机器。后门操作者可以窃取肉机用户的财务和个人信息,对其他服务器发起各种攻击。
摘要
不幸的是,僵尸网络的故事不能结束。
仅仅暴露僵尸网络和他们的诡计并不能阻止他们。此外,即使屏蔽它控制的每一台肉机也不是一个非常有效的方法,因为它繁殖得更快。我们需要另一个解决方案。
一种方案是通过基于信誉的系统监控所有攻击源,以便安全运营商可以根据过去的行为和行为分类来评估新出现的威胁。通过处理网络流量的各种因素,如攻击者的持久性、目标程序的数量、攻击的程度及其造成的严重性,对其进行评分,预测攻击源的下一步动作或意图,进而提前采取行动。
另一个方案是本文开始的“SSH精神病”。找到攻击源后,直接从电信运营商层面将攻击流量扔进黑洞。
但是这两个方案都不容易实现。首先,声誉制度的建立和统一是一件非常麻烦的事情。与电信运营商的直接合作关系到法律问题,更何况不是每一个安全厂商都能与电信联手,方便自如地对抗僵尸。
僵尸网络利用了这个漏洞。只要它咬了你,你就成了其中一员,然后自动寻找下一个受害者。不管怎样,它将永远持续下去。除非它不能咬人,否则就意味着一个没有漏洞的互联网。
显然,这是不可能的。
最新消息
Pushdo僵尸网络于2007年出现,经过四次打击和包围活动后,以最新版本重生。目前,该僵尸网络的感染范围已达到50个国家。