殭屍網絡的出現,使得網絡犯罪集團可以控制和訪問上千萬台受感染計算機,造成網絡犯罪數量明顯增加。雖然大部分互聯網用戶知道殭屍網絡威脅性很強,但很多用戶並不知道殭屍網絡是如何形成和維護的。
殭屍網絡在網絡犯罪鏈條中充當著重要的一環。要瞭解殭屍網絡所扮演的角色,並不需要太多技術知識。網絡罪犯之間通過互聯網從事業務,並且通過他們常訪問的網站獲取大量信息。
由於殭屍網絡在俄羅斯非常流行,所以互聯網上大部分同殭屍網絡相關的交流都是採用俄語。基於此,本文中用到的截圖均採用俄語。
網絡犯罪服務的提供者
同其他成熟的產業一樣,網絡罪犯產業也有自己的領域專攻。在互聯網上搜索一下提供網絡犯罪商品和服務的結果,會發現殭屍網絡運營者是這些商品和服務的主要客戶。
惡意代碼的開發
大部分基於互聯網的犯罪都直接或間接地同惡意程序相關,這些惡意程序包括病毒、木馬、網絡蠕蟲以及通過網絡攻擊遠程計算機的程序,他們是可以用於網絡犯罪的主要工具。
殭屍網絡運營者是惡意軟件編寫者的理想客戶。他們不僅可以利用惡意軟件創建殭屍網絡,還可以通過這些惡意軟件竊取機密信息、發佈垃圾郵件、流氓反病毒軟件、廣告軟件甚至將被感染計算機變成代理服務器。
惡意軟件開發者和殭屍網絡運營者關係緊密,而且他們明白各自的成功都依仗兩者之間的密切合作。大型殭屍網絡的運營者定期需要新的惡意程序,而惡意軟件編寫者則時時都在尋找固定客戶。
現在,很容易就可以在互聯網上找到惡意程序代碼開發訂購服務。惡意程序開發者通常會在公共黑客論壇發佈這些廣告信息,訪問這些論壇的主要客戶是網絡罪犯和垃圾郵件發佈者。下圖就是一個在黑客論壇刊登的典型廣告貼:
帖子內容聲稱作者可以開發木馬程序,客戶可以說明想要的功能。另外,帖子作者還可以給客戶提供一個「合併」程序,這種程序可以將惡意代碼注入到所有合法的可執行文件中。
通 常情況下,這些黑客論壇上的客戶僅僅需要用於竊取密碼的惡意程序。但是這些論壇中還有一些網絡罪犯所使用的資源,這些資源的技術含量要高的多。開發這些惡 意軟件的通常是對Windows安全非常熟悉的個人,他們的技術可以媲美微軟的開發者,但這些人卻利用自己的才華開發出了網絡犯罪工具。這些網絡罪犯可以 開發出負責的惡意程序,對反病毒廠商來說,能夠清除這種人所開發出來的惡意程序是一個重要挑戰。
幸 運的是,大部分惡意軟件編寫者所提供的服務相對來說技術含量都不高。不足為奇的是,有很多網絡詐騙者也經常光顧這些論壇,他們所發佈的帖子會被版主標記為 「詐騙」內容。這表明帖子發佈者已經成功詐騙到一些人,論壇版主已經從受害人那裡接到投訴。這也很正常,因為很多低級的網絡罪犯並不注重自己的誠信。
由於網絡犯罪商品和服務交易中缺乏相應的信賴機制,直接導致了所謂的擔保人的出現。正如其名稱所示,擔保人確保客戶成功受到他們訂購的商品和服務,並保證銷售者能夠獲取到報酬。
擔保人
擔 保人應該同交易雙方都沒有關係,並且要對商品或服務進行檢驗確保其符合相應標準。如果在銷售惡意代碼或網絡犯罪服務時,能夠讓一個知名的擔保人進行檢驗和 擔保,其交易成功的概率要大了很多。不僅如此,擔保人還會參與購買和銷售殭屍網絡及其組件(即殭屍計算機)。
擔保人通常是知名黑客論壇的版主。擔保人提供的服務包括為互相熟知的協議三方(即買方、賣方以及擔保人本身)達成非正規協議,或者幫助簽署一個正規的協議,協議中會寫明擔保人的職責以及交易條款等內容。
下面為節選的協議,其中描述了擔保人的職責以及對其服務的報酬支付條款(俄譯英)
擔保人參與的網站所提供的交易類型包括很多網絡犯罪商品和服務,其中有一些對殭屍網絡運營者非常具有吸引力,這些商品和服務包括惡意軟件加密和打包服務、瀏覽器漏洞利用程序、流量重定向服務以及主機服務。
惡意軟件加密和打包服務
為 了成功進行網絡攻擊,僅僅編寫或購買一款惡意程序是遠遠不夠的。因為一旦這種程序開始使用,很快就是被反病毒廠商拿到樣本,從而被作為惡意軟件而清除。所 以,針對惡意程序的加密和打包服務特別流行,因為這種服務可以使得可執行文件在保持惡意功能的同時避免被檢測到。
有時候,這些服務的提供者會針對某個特定家族的惡意程序提供加密服務。這是因為反病毒軟件廠商在檢測特定家族的惡意程序時,通常使用啟發式檢測技術,要躲避這種技術的檢測遠遠比躲避普通的基於特徵的檢測困難的多。
上 述帖子中的作者聲稱為一種名為Zeus的殭屍程序提供加密服務,同時還為其他惡意代碼提供加密服務。而針對Zeus的加密服務收費較高(第一次加密收費 50美元,後續機密需要40美元,而其他惡意軟件加密服務收費只有10美元),這是因為普通的加密軟件無法為Zeus加密。
瀏覽器漏洞利用程序
漏洞一直是一個熱門話題,比如ExploitPack這樣的系統在網絡罪犯中越來越流行。這種系統可以在用戶不知情的情況下攻擊和利用未更新軟件的漏洞。瀏覽器以及瀏覽器組件(例如Adobe Flash)都是最常被攻擊的目標。
以往,ExploitPack都是單獨作為一種產品被用以銷售,客戶並不需要其他服務。但現在很多客戶都會要求銷售者提供支持和升級服務。
俄羅斯互聯網論壇上一條關於Neon漏洞探測系統的描述信息
由 於新漏洞的不斷出現,使得此類惡意程序的受歡迎程度又再度上升,導致這類程序包的價格也有所上漲。下圖正是說明了在2008年末,由於某個 ExploitPack開發者開發的惡意程序包中新增了一個新發現的微軟IE 7漏洞利用程序,其系統的售價就從400美元提高的了500美元。
「網絡流量服務」
在 網絡犯罪世界中,「網絡流量」指的是將用戶請求從一些合法但已被攻陷的網站重新定向到網絡罪犯準備的網絡資源上。另一種增加「網絡流量」的方法是讓用戶點 擊垃圾郵件或IM(如ICQ)信息中的鏈接。通常,這種垃圾郵件的發布都是有網絡罪犯自己完成,這樣可以確保其中的鏈接都指向他們設置的網站。
網絡罪犯可以通過購買一些竊取到的訪問數據非法訪問網站,有專門從事搜索、竊取以及銷售用戶密碼的網絡罪犯。一旦可以訪問這些網站,網絡罪犯就可以修改其上的網頁,在網頁中添加惡意iframe HTML標籤。
網站被修改後,用戶訪問這些網站時就會從這些被修改的合法網站被重新定向到網絡罪犯指定的網站。如果大量網頁被更改,則會造成大量用戶被重新定向到惡意網站,事實上,網絡罪犯可以使用自動工具,在一小時內修改幾千個網頁。
上述截圖是俄羅斯某個論壇上出售iframe「網絡流量」服務的帖子,其中還註明進行交易需要預付款或通過擔保人交易。
通常來說,「網絡流量」是一種最為便宜的網絡犯罪服務,一般價格為0.5-1美元/千名訪問者。
殭屍網絡運營者會購買「網絡流量」,將用戶從合法的被攻陷網站定向到包含最新漏洞利用程序的惡意網站。如果針對瀏覽器漏洞的攻擊成功,那麼被定向到惡意網站的用戶計算機則會被感染,成為殭屍網絡的一部分。
網絡主機服務
不限內容的透明網絡主機服務也是一種盈利頗豐的網絡犯罪業務。這種服務的提供商不會在意客戶在網頁上放置什麼內容。而且,他們還保證不會在意網站瀏覽者或其他主機服務提供商針對其非法內容的投訴。
俄羅斯某論壇上出售透明主機服務的帖子
RBN論壇就提供此類服務,此論壇非常受俄羅斯以及西方媒體的關注。RBN論壇與2007年末被關閉。但仍然有很多類似的規模或大或小的透明主機服務不斷出現。
俄羅斯某論壇上關於出售透明主機服務的頁面
透明主機服務的需求量很大,而且只要有需求量,自然就會有市場。很多論壇上都有銷售透明主機服務的內容,這項服務特別受殭屍網絡運營者的親睞,因為他們需要穩定的平台用於部署殭屍網絡控制中心。
客戶
截 至到此,本文詳細分析了向網絡犯罪市場提供商品以及服務的供應商。但是,網絡犯罪市場的客戶在整個網絡犯罪這個地下經濟體中所扮演的角色則更為重要。因為 真正想要非法訪問和獲取被感染計算機數據和資源的是網絡犯罪市場的客戶。同樣,也是這些客戶通過竊取受害者的信用卡信息盜取大量電子貨幣,獲取巨大的經濟 利益。通常,這些網絡罪犯很少會同撰寫惡意程序的技術型網絡罪犯直接聯繫。
這些客戶對殭屍網絡最感興趣,他們還可以分為以下幾種:
- 信用卡盜竊者
- 網絡敲詐者和不公平競爭
- 垃圾郵件發佈者
信用卡盜竊者
信用卡盜竊是互聯網上最早出現的網絡犯罪形式,信用卡盜竊者可以通過竊取到的信用卡以及持卡人個人信息獲利。這類網絡罪犯有自己的專業論壇,他們會在上面討論洗錢的技巧。當然,他們所從事的金融操作都是非法的,所以他們非常注重匿名性和安全性。
上述截圖為一個典型的信用卡盜竊者活動的論壇,其中有很多「虛擬」信用卡(即關於信用卡以及持卡人信息)用以銷售。其中也有實體信用卡銷售(即複製的信用卡)。在俄羅斯網絡犯罪術語中,「虛擬」卡被稱為「卡片」,而「實體」卡則被稱為「塑料卡」。
「實體」卡只能用來從ATM機中提取現金。而且還要通過一個居住在信用卡持卡人同一地區的中間人去執行,免得引起發卡銀行的懷疑。
如果要使用「虛擬」卡盈利,必須先要通過以下方法進行洗錢:
- 利用竊取到的數據在實體商店購買商品,然後將商品迅速賣掉。由於開出的賣價比較低,所以商品的需求量很大;
- 利用竊取到的數據在在線賭場中將被竊信用卡中的錢轉移到其他賬戶;
- 利用竊取到的信用卡信息通過在線拍賣網站購買商品,再將商品低價銷售(有時候就直接在該網站銷售);
- 利用竊取到的信用卡信息租賃主機服務,然後再低價出售。
另外,信用卡盜竊者還需要專門有人給他們提供假冒的證明文件從事非法信用卡交易。很自然地,網絡罪犯會提供這項服務,這也是網絡罪犯們所從事的另一項有利可圖的事業。
如 果由於某種原因造成信用卡被凍結,發卡銀行通常會聯繫持卡人並要求其將掃瞄版證明文件發給銀行,以證明持卡人身份。需要什麼證明文件,網絡罪犯都可以偽 造,而且偽造出來的文件看上去給原件完全相同。網絡罪犯幾乎可以偽造任何文件,包括駕照、護照、水電費賬單、文憑甚至信用卡等。
信用卡盜竊者在網絡犯罪世界扮演著非常重要的角色。他們是最富有的網絡罪犯,會在各類非法商品和服務上花費大量錢財。如果沒有殭屍網絡,他們就不可能獲取如此多的信用卡信息。所以,他們很自然的會全力支持殭屍網絡的運營者。
網絡敲詐和不公平競爭
俄羅斯某論壇一帖子,內容是尋求DDoS攻擊服務,要求在工作時間攻擊2-4周
上 述行為如果沒有殭屍網絡幫助的話,是無法實現的。參與網絡敲詐的網絡罪犯都是利用DDoS攻擊妨礙網站正常訪問。敲詐者索要到贖金後才會停止攻擊,有時候 一些不良廠商也會使用這種手段致使競爭對手的網站無法訪問。通常從事DDoS攻擊的網絡罪犯很少會對其服務做廣告,因為他們都希望保持匿名。但今年夏天, 由於一些客戶無法找到DDoS服務的提供者,竟然在論壇上發佈了一些徵求此類服務的帖子。
垃圾郵件發佈者
目 前,關於利用已攻陷主機提供垃圾郵件發送服務的信息很多,很容易滿足此類服務的客戶的所需。但是,大約有85%的垃圾郵件是通過殭屍網絡發送的。通常,垃 圾郵件發佈者可以通過發佈廣告,提高在線商店的銷售業績或者為在線賭場進行推廣,從而獲取報酬。殭屍網絡運營者歡迎這樣的客戶,因為他們為其服務所支付的 報酬不會被竊取,所以也不會由此造成任何麻煩。
結論
殭 屍網絡對整個網絡犯罪行業的演化發展具有重大影響。一方面,殭屍網絡促進了網絡犯罪服務的發展,因為殭屍網絡運營者是代碼機密、漏洞利用程序打包服務、透 明主機服務以及流量重定向服務的主要消費者。另一方面,殭屍網絡對信用卡盜竊者和垃圾郵件發佈者也至關重要,也正因為有了殭屍網絡,他們才可以從事各自的 業務。
是殭屍網絡最終將網絡犯罪的不同元素聯合起來,形成一個集成的系統,也使得從事垃圾郵件發佈、信用卡盜竊、惡意軟件編寫以及網絡犯罪服務的從業者從中可以獲利,進行資本流通。
網 絡犯罪行業沿著不同的週期在進化和發展。惡意軟件編寫者和其他服務提供者給殭屍網絡運營者提供網絡犯罪服務。反過來,殭屍網絡運營者會為信用卡盜竊者、垃 圾郵件發佈者以及其他網絡罪犯提供服務。通過開發某個惡意軟件或提供某種服務獲利後,網絡罪犯會繼續接手下一個訂單,就這樣,循環不止。每一個新的週期都 會有更多人的參與。服務購買者們想要增加營業額,其訂單的謠言就會在黑客論壇以及其他網絡罪犯的交流渠道上快速蔓延和傳播。
今天的網絡罪犯可以利用殭屍網絡非法訪問成千上萬台計算機。殭屍網絡對網絡犯罪數量有直接影響,造成了大量信用卡賬戶失竊案件。DDoS攻擊同樣如此,已經變得非常常見,因為通過殭屍網絡,任何人都可以輕鬆發起DDoS攻擊。
殭屍網絡是網絡犯罪維持活力的命脈,能夠確保資金在網絡罪犯之間持續流通,並且促進網絡犯罪行業持續發展。從某種意義上說,互聯網的未來在很大程度上取決於殭屍網絡的發展情況。
