电脑被黑之路：从种子文件到僵尸网络

据统计,每三个网站中就有一个存在传播恶意软件给其用户的行径,这是有据可查的。

假设,有一部电影上个月公布,但你不想去电影院看,也想节省一些钱,你会怎么做?上网搜这部电影的种子文件,然后下载它,就是这么简单。难道不是吗?

你有没有想过,为什么会这么简单?答案在这里。

当我们谈到从免费BT网站上下载一部电影、一个破解软件或任何种类的盗版材料时,所有的一切都离不开一个“钱”字。他们可能会提供给你破解软件或1080p的高清电影,然后在暗中捆绑了恶意软件。这种恶意软件大多是“木马”,这使他们得以每天从您的计算机窃取敏感信息,包括您的密码,来自网络摄像头的照片和其他文件在内,攻击者也可以锁定您的计算机,以勒索受害者来得到金钱或比特币!

除了窃取重要信息,这种恶意软件还能够把你的设备还有数百万其他像你这样的受害者变为“僵尸网络军团”设备的一部分。僵尸网络是由命令和控制服务器,也被称为“C&C服务器”或“C2服务器'所控制。这些数以百万计的设备的访问权限被租赁给黑帽子 。租金取决于操作系统的数目,它们的硬件配置,以及它们的使用持续时间。黑帽子和其他网络犯罪群体,比如黑客组织“APT29”,会借助这些信息发送垃圾邮件,进行DDOS攻击,窃取凭证并进行其他恶意操作。

RiskIQ是一个总部位于旧金山的网络安全公司,该公司数字公民联盟(DCA)的授权进行“Digital Bait”这一事件的调查,RiskIQ扫描了超过800个网站的盗版内容并进行了研究。RiskIQ 提到:“据统计,每三个网站中就有一个存在传播恶意软件给它的用户的行径,这是有据可查的。”

这些盗版网站的收入估计约为7000万美元。一旦设备来自“僵尸网络军队”,或者被称为一个”僵尸网络“的一部分,它就可以被用于DDOS攻击等多种恶意行为,甚至未经用户同意就传播其他恶意软件。而这些受害者被窃取的银行凭证等信息在“黑市”的售价约为2 美元至130美元。

这里有一些我从社交媒体上找来的截图,可能会为你对付僵尸网络和其命令和控制服务器带来一些思路。

典型的僵尸网络拓扑结构包括:

星型结构,其中僵尸网络是由中央服务器控制。

多服务器结构,其中有多个冗余的C&C服务器。

分层结构,其中有多个分了组的C&C 服务器。

随机结构,这种结构中没有C&C服务器。计算机通信模式为对等僵尸网络(P2P僵尸网络)。

例如,目前SpyEye和Zeus僵尸网络已经发展得利润十分丰厚,且广为传播 。它们都有窃取受害者的银行凭证,并自动盗刷账户的过程。Zeus僵尸网络的创造者把它卖给了另一个犯罪团伙,从2008年以来该团伙使用它感染了超过13万台电脑,并用它来窃取了超过1亿美元。网络安全公司估计,随着时间的推移,僵尸网络所造成的损失已经造成超过在世界各地的损失 。估计每年有500百万台计算机设备被僵尸网络攻击,这也就等同于大约每秒有18个受害者的电脑b被感染。

无论事情演变的有多严重,总还是有希望的曙光。跟据赛门铁克互联网安全威胁报告(2016年4月第21卷),同2014年的数字190万相比较,有110万的僵尸网络在2015年减少了42%。

各种CERT、IT安全公司和执法部门正在共同努力,以对抗全球网络犯罪。在2015年12月,国际刑警组织拿下了“Dorkbot”僵尸网络组织,此次行动的合作单位有微软,CERT波兰,ESET,国土安全部的美国计算机应急预备小组,美国能源部(US-CERT),印度中央调查局(CBI),欧洲刑警组织,加拿大广播电视和电信委员会, 美国联邦调查局(FBI),加拿大皇家骑警,俄罗斯国家中心局,俄罗斯内政部,和土耳其国家警察。

Dorkbot利用受害者的计算机进行过的操作如下所示:

窃取银行网站或网上支付网站的密码;

实施分布式拒绝服务攻击;

提供下载其他恶意软件的渠道,增加接触其他恶意软件的风险。

同许多僵尸网络一样,Dorkbot是通过USB闪存驱动器,社交网络和即时通讯软件传播的,因此建议您定期使用杀毒软件扫描您的计算机。

就像Dorkbot的结局一样, 还有好几个僵尸网络是通过法制机构和网络安全公司协同合作而被攻破拿下的,其中包括Simda 僵尸网络,Dridex 僵尸网络和Ramnit 僵尸网络。

始终不要忘记使用最新的防病毒软件和防火墙来保障计算机的安全,如果你怀疑某个文件是病毒,请务必使用沙箱来执行它。据业界估计,在你阅读这篇文章的短短几分钟内,就有3000多台计算机加入了僵尸网络大军。

原文始发于微信公众号（悬镜安全）：电脑被黑之路：从种子文件到僵尸网络