IronPort技術(shù)副總裁同時也是思科院士Patrick Peterson表示:“根據(jù)我們之前的研究,利用僵尸網(wǎng)絡(luò)的加拿大藥品網(wǎng)站按訂單售出的非法藥品背后有一個非常精明的供應(yīng)鏈�。但是到目前為止,專注技術(shù)的僵尸網(wǎng)絡(luò)負責人與全球供應(yīng)鏈組織之間的關(guān)系仍然不為人所知�����。我們的研究表明�����,Storm和其它僵尸網(wǎng)絡(luò)生成委托訂單��,然后由Spamlt.com或GlavMed等供應(yīng)商完成訂單���,這些發(fā)布信息的公司每年可以獲得超過1.5億美金的收入。
IronPort的研究表明���,Storm僵尸網(wǎng)絡(luò)發(fā)布的郵件中有超過80%是網(wǎng)上藥店的廣告����,比如CanadianPharmacy.com、TheCanadianMeds.com以及CanadianPharmacyLtd.com����。這些垃圾郵件通過多種社會工程詭計以及網(wǎng)絡(luò)數(shù)據(jù)搜索感染的數(shù)以百萬計的個人電腦發(fā)送。進一步研究表明�,與Strom(風暴)惡意軟件合作的一個俄羅斯犯罪組織GlavMed提供了垃圾郵件模板、垃圾郵件廣告的網(wǎng)址����、網(wǎng)站設(shè)計、信用卡處理��、產(chǎn)品實現(xiàn)以及客戶支持�。
GlavMed利用僵尸網(wǎng)絡(luò)垃圾郵件發(fā)送者來宣傳他們的非法藥品網(wǎng)站,后者將獲得銷售訂單額的40%作為傭金����。GlavMed負責完成醫(yī)藥產(chǎn)品訂單、信用卡處理以及客戶支持服務(wù)�����。但是,IronPort發(fā)起的一個藥品測試顯示:雖然這些藥品中有三分之二含有活性成分��,但是劑量不準確���,而其他部分則僅僅是安慰劑�。最后結(jié)果就是���,消費者服下了來自外國分銷商的未知物質(zhì)�,面臨很大的風險���。
關(guān)于Storm僵尸網(wǎng)絡(luò)以及它與GlavMed供應(yīng)鏈之間的關(guān)系詳見IronPort的特別報告《2008年互聯(lián)網(wǎng)惡意軟件發(fā)展趨勢:Storm僵尸網(wǎng)絡(luò)與社會工程的未來》��。這份報告同時指出了一些惡意軟件感染寄主PC并跳過安全軟件的方法���。這些方法包括:
- 網(wǎng)絡(luò)垃圾郵件����。復(fù)雜的僵尸網(wǎng)絡(luò)結(jié)合自動以及手動Captcha破壞程序來產(chǎn)生大量的網(wǎng)絡(luò)郵件賬戶。(“Capcha”表示區(qū)分計算機和人類的全自動公開圖靈測試����。一個普通的“Captcha”測試需要有人輸入一系列扭曲的字母和數(shù)字來保證回答不是計算機生成的���。)賬戶產(chǎn)生后,僵尸網(wǎng)絡(luò)利用這些賬戶發(fā)送垃圾郵件信息�����,并且這些垃圾信息接收者以為這些信息源于合法ISP的郵件服務(wù)器����,而不是僵尸網(wǎng)絡(luò)。這些信譽盜竊式攻擊在2008年的第一季度占據(jù)了垃圾信息的5%��,而在上一個季度還不到1%�。
- 利用Google搜索。下一代惡意軟件利用Google的“手氣不錯”搜索選項把用戶導(dǎo)向受感染網(wǎng)站����。大約1.3%的Google搜索會把惡意軟件網(wǎng)站作為合法結(jié)果。由于每分鐘都會有大量的搜索在進行�����,這項功能是惡意軟件發(fā)布者的潛在巨大機會����。
- 郵件自動回復(fù)功能��。當用戶啟用郵箱的自動回復(fù)功能時�����,垃圾郵件散布者將能夠確定這些郵件地址是存在的�,而且使得垃圾信息發(fā)布者劫持此企業(yè)郵件服務(wù)器以看似合法的方式發(fā)送垃圾郵件�。這種攻擊方式相當新,它體現(xiàn)了垃圾郵件發(fā)布者在尋求跳過垃圾郵件過濾器時非常精明��。
報告中研究的僵尸網(wǎng)絡(luò)的特別之處在于它們把垃圾郵件活動和當前事件或者牟利網(wǎng)站聯(lián)系起來���,并且通過郵件和網(wǎng)站結(jié)合來傳播�����。此外���,這些分散且高度協(xié)同的攻擊產(chǎn)生了多種多樣的網(wǎng)絡(luò)入侵,從郵件與博客垃圾信息到網(wǎng)絡(luò)釣魚���、即時通信(IM)攻擊以及分布式拒絕服務(wù)(DDoS)攻擊��。
根據(jù)IronPort研究人員的說法��,Storm惡意軟件是此復(fù)雜社會工程趨勢的先驅(qū)���,在2008年1月和2月間累計影響了全球范圍內(nèi)四千萬臺電腦。在2007年7月的高峰期�,Storm總共占據(jù)了垃圾信息總量的20%,感染了140萬臺電腦���。并且�,它每個月會繼續(xù)感染或者重新感染90萬臺電腦�。截至2007年9月,生成Storm垃圾消息的同時活躍計算機的數(shù)量減少到每天28萬臺�����,并且它發(fā)出的垃圾信息只占所有垃圾信息的4%��。目前��,Storm只占每天發(fā)送的1610億條垃圾信息的一小部分��,但是Storm的變種仍然活躍�。
在評估這類基于社會工程的攻擊帶來損害的同時���,此項報告詳細介紹了垃圾信息和病毒的可能的發(fā)展趨勢以及企業(yè)為保證其網(wǎng)絡(luò)安全所應(yīng)采取的措施。垃圾信息已經(jīng)不僅僅是個人尋求榮耀的產(chǎn)物?���,F(xiàn)在,它已經(jīng)變種為有組織�����,有技術(shù)含量的�,有資金支持的行為,并且其規(guī)模在一定程度上可以和合法軟件生產(chǎn)商相媲美�����。為了提高效率以及收益��,惡意軟件制造商甚至開始以整套方案出售其產(chǎn)品����,包括技術(shù)支持、分析與管理工具以及軟件更新���。近期發(fā)現(xiàn)的僵尸網(wǎng)路惡意軟件有Bobax�����、Kraken/Kracken和Srizbi��。
為了阻止Storm及后續(xù)僵尸網(wǎng)絡(luò)的擴散���,IronPort的報告向每個公司推薦使用垃圾郵件過濾器,評估其網(wǎng)絡(luò)信譽��,監(jiān)測端口以及通信活動�����,并保持所有的反病毒或者反惡意軟件產(chǎn)品時時更新���。
