现代战争—僵尸网络的历史（下篇）

作者：Rik Ferguson 趋势科技资深分析师

本文是一系列文章的第三篇，关于上篇、中篇请看现代战争——僵尸网络的历史(上篇)和现代战争——僵尸网络的历史(中篇)

迷失在噪声中

自从 2007 下半年开始，网络犯罪者就不断滥用 Web 2.0 让网民自行创作内容的特点。首先是利用博客和 RSS 讯息做为幕后操控的通讯管道，歹徒会将操控指令张贴在公开的博客，僵尸网络程序则透过 RSS 讯息接收这些指令。反之，僵尸程序从感染系统窃取到的数据，则张贴在另一个公开的正常博客，让幕后操控服务器透过 RSS 讯息接收这些数据。

随着 Web 2.0 服务呈倍数成长且开始逐渐获得企业采纳，网络犯罪手法也因而更加速翻新。例如，目前已有 Amazon EC2 云端内遭入侵的无辜服务器被用来提供 ZeuS Bot 程序的组态配置文档。而且，歹徒也利用 Twitter 作为垃圾邮件恶意 URL 的目标网页，藉此躲避电子邮件 URL 过滤技术。Twitter、Facebook、Pastebin、Google Groups 和 Google AppEngine 都曾被用于当成幕后操控基础架构的代理。歹徒利用这些公开交流管道将经过混淆编码的指令传送到分散全球的僵尸网络Botnet，这类指令内含进一步的 URL 来让 僵尸Bot 程序下载更多指令或组件。

这些网站与服务对网络罪犯的吸引力在于，它们提供了一个公开、开放、可扩充、可随时使用而且相对匿名的方式来维持其幕后操控基础架构，同时也较不容易被传统的技术侦测。虽然网络内容检查解决方案应该可以发现那些已知恶意网站 (幕后操控服务器) 通讯或使用可疑不当通讯管道 (如 IRC) 的端点装置，但一般说来，只要计算机透过标准的 HTTP GET 请求、经由端口 80 来连上内容服务商，如：Facebook、Google 或 Twitter，就算是一天连上好几次，也都算正常行为。然而，随着 Bot 网络经营者和犯罪者不断分散其幕后操控基础架构，并且混杂在互联网噪声当中，上述行为已不能再视为正常。

当然，我们可以完全预料网络罪犯会朝这个方向发展，以后还会有更多 僵尸网络Botnet会利用更有效的点对点 (P2P) 通讯、更新、管理通讯管道等等。Bot 程序和 僵尸 Bot网络控制者之间的通讯，也将采用更强的加密方法，PKI 加密是可能的方式之一。而幕后操控服务器也将更有效分散行踪，使用云端服务的点对点通讯，以及入侵正常的服务来建立秘密通讯管道。垃圾讯息的散发能力将会更强。僵尸网络已经会利用社交网络来散播 (例如恶劣的 KOOBFACE )，它会发送、张贴讯息，不难预料在不久的将来僵尸网络程序将具备散发社交网络垃圾讯息的能力。

未来该何去何从？

那么该怎么做？难到完全没希望了吗？ 我想不会。这场战争将不会停止，而且我们必须联合多个阵线。政府和国际组织，如欧盟、经济合作暨发展组织 (OECD) 以及联合国，都必须加强全球网络犯罪的刑事犯罪法协调，让起诉更有成效。执法单位必须建立正式的多边协议以打击跨国性犯罪。互联网服务提供商和网域注册机构，也能扮演关键的角色。ISP 应该通知并协助他们确信已遭入侵的客户 (所幸这样情况有增加的趋势)。此外，当他们相信客户正在从事不法活动时，也应立即终止服务。网络域名注册机构应该在注册时要求申请人提出更容易追查的身份数据型态，而且一旦发现可信的犯罪证据，就应该暂停其服务。

信息安全产业在对抗 Downad/Conficker 的行动中学习到了联合作战的宝贵经验，希望这些成效显著的联合行动可以持续深化。此外，各国也应赞助一些计划来加强民众教育，宣传网络犯罪的危险性，鼓励大家养成安全的计算机使用习惯。最后，信息安全产业不能安于现状，过去的成就固然让人振奋，但我们不能光停留在目前的技术。唯有不断创新才能随时对抗、甚至超越网络罪犯不断翻新的技术。