【賽迪網-IT技術報道】據悉思科公司安全業務部門IronPort Systems發現了網上犯罪生態系統的核心流程:利用僵屍網路發送垃圾郵件來宣傳其網站的非法藥品供應鏈。通過把垃圾郵件轉換成具有高價值的藥物購買行為,這些藥品供應鏈企業讓兜售資訊的僵屍網路盈利,為僵屍網路攻擊以及持續的創新提供利潤來源。在IronPort最新的年度網路安全趨勢報告中,IronPort分析了這些僵屍網路的影響並且揭示了藥品垃圾資訊與相關惡意軟體經濟背後的真正驅動因素。
IronPort技術副總裁同時也是思科院士Patrick Peterson表示:“根據我們之前的研究,利用僵屍網路的加拿大藥品網站按訂單售出的非法藥品背後有一個非常精明的供應鏈。但是到目前為止,專注技術的僵屍網路負責人與全球供應鏈組織之間的關係仍然不為人所知。我們的研究表明,Storm和其他僵屍網路生成委託訂單,然後由Spamlt.com或GlavMed等供應商完成訂單,這些發佈資訊的公司每年可以獲得超過1.5億美金的收入。
IronPort的研究表明,Storm僵屍網路發佈的郵件中有超過80%是網上藥店的廣告,比如CanadianPharmacy.com、TheCanadianMeds.com以及CanadianPharmacyLtd.com。這些垃圾郵件通過多種社會工程詭計以及網路數據搜索感染的數以百萬計的個人電腦發送。進一步研究表明,與Strom(風暴)惡意軟體合作的一個俄羅斯犯罪組織GlavMed提供了垃圾郵件模板、垃圾郵件廣告的網址、網站設計、信用卡處理、產品實現以及客戶支援。
GlavMed利用僵屍網路垃圾郵件發送者來宣傳他們的非法藥品網站,後者將獲得銷售訂單額的40%作為佣金。GlavMed負責完成醫藥產品訂單、信用卡處理以及客戶支援服務。但是,IronPort發起的一個藥品測試顯示:雖然這些藥品中有三分之二含有活性成分,但是劑量不準確,而其他部分則僅僅是安慰劑。最後結果就是,消費者服下了來自外國分銷商的未知物質,面臨很大的風險。
關於Storm僵屍網路以及它與GlavMed供應鏈之間的關係詳見IronPort的特別報告《2008年互聯網惡意軟體發展趨勢:Storm僵屍網路與社會工程的未來》。這份報告同時指出了一些惡意軟體感染寄主PC並跳過安全軟體的方法。這些方法包括:
·網路垃圾郵件 複雜的僵屍網路結合自動以及手動Captcha破壞程式來產生大量的網路郵件賬戶。(“Capcha”表示區分電腦和人類的全自動公開圖靈測試。一個普通的“Captcha”測試需要有人輸入一系列扭曲的字母和數字來保證回答不是電腦生成的。)賬戶產生後,僵屍網路利用這些賬戶發送垃圾郵件資訊,並且這些垃圾資訊接收者以為這些資訊源於合法ISP的郵件伺服器,而不是僵屍網路。這些信譽盜竊式攻擊在2008年的第一季度佔據了垃圾資訊的5%,而在上一個季度還不到1%。
·利用Google搜索 下一代惡意軟體利用Google的“手氣不錯”搜索選項把用戶導向受感染網站。大約1.3%的Google搜索會把惡意軟體網站作為合法結果。由於每分鐘都會有大量的搜索在進行,這項功能是惡意軟體發佈者的潛在巨大機會。
·郵件自動回復功能 當用戶啟用郵箱的自動回復功能時,垃圾郵件散佈者將能夠確定這些郵件地址是存在的,而且使得垃圾資訊發佈者劫持此企業郵件伺服器以看似合法的方式發送垃圾郵件。這種攻擊方式相當新,它體現了垃圾郵件發佈者在尋求跳過垃圾郵件過濾器時非常精明。
報告中研究的僵屍網路的特別之處在於它們把垃圾郵件活動和當前事件或者牟利網站聯繫起來,並且通過郵件和網站結合來傳播。此外,這些分散且高度協同的攻擊產生了多種多樣的網路入侵,從郵件與博客垃圾資訊到網路釣魚、即時通信(IM)攻擊以及分佈式拒絕服務(DDoS)攻擊。
根據IronPort研究人員的說法,Storm惡意軟體是此複雜社會工程趨勢的先驅,在2008年1月和2月間累計影響了全球範圍內四千萬台電腦。在2007年7月的高峰期,Storm總共佔據了垃圾資訊總量的20%,感染了140萬台電腦。並且,它每個月會繼續感染或者重新感染90萬台電腦。截至2007年9月,生成Storm垃圾消息的同時活躍電腦的數量減少到每天28萬台,並且它發出的垃圾資訊只佔所有垃圾資訊的4%。目前,Storm只佔每天發送的1610億條垃圾資訊的一小部分,但是Storm的變種仍然活躍。
在評估這類基於社會工程的攻擊帶來損害的同時,此項報告詳細介紹了垃圾資訊和病毒的可能的發展趨勢以及企業為保證其網路安全所應採取的措施。垃圾資訊已經不僅僅是個人尋求榮耀的產物。現在,它已經變種為有組織,有技術含量的,有資金支援的行為,並且其規模在一定程度上可以和合法軟體生產商相媲美。為了提高效率以及收益,惡意軟體製造商甚至開始以整套方案出售其產品,包括技術支援、分析與管理工具以及軟體更新。近期發現的僵屍網路惡意軟體有Bobax、Kraken/Kracken和Srizbi。
為了阻止Storm及後續僵屍網路的擴散,IronPort的報告向每個公司推薦使用垃圾郵件過濾器,評估其網路信譽,監測端口以及通信活動,並保持所有的反病毒或者反惡意軟體產品時時更新。
(責任編輯:李磊)
