感謝互聯網的高速發展,使得我們可以通過網絡迅速、便捷地購買商品或服務。我們生活在一個多麼美好的時代!生活變得無比便利,你甚至走不出戶就可以 進行日常購物,或者購買一部遊艇,或者在一個遙遠的國家置辦房產等等,通過互聯網可做的事簡直數不勝數!今天,通過網絡進行證券交易或進行企業交易也已經 非常普遍。
通常,要享受以上各種服務時,我們必須首先登錄相應系統,然後選擇和確定將錢匯入哪個賬號。
錢啊錢!只要涉及到錢,肯定就會有存心不良的人試圖染指。更糟的是,有人會想盡辦法將這些不屬於自己的錢據為己有。電子貨 幣世界中這種事情屢見不鮮。網絡騙子和詐騙者會想盡各種辦法竊取他人的錢財,其中最保險的辦法無疑是欺騙在線支付系統,讓其認為騙子即是某個合法賬戶的持 有人。如果成功,網絡詐騙者就可以對受害者賬號中的錢款任意處置了。
最常見的讓系統確認某用戶為在線支付賬號合法授權人的辦法是提供用戶姓名(或者信用卡號碼,或已註冊化名等)以及正確的密 碼(或PIN碼、授權代碼等)。通常,通過上述信息,系統就可以確認登錄用戶為授權用戶。但是,網絡詐騙者是如何獲取到用戶的這些私人信息的呢?因為他們 擁有一種強大的「武器」:木馬程序。這些惡意程序彷彿網絡罪犯手中的撬棍,能夠剷除層層苦難,讓網絡罪犯獲取到他們想要得到的信息,而丟失信息的用戶甚至 都不知道數據已經被盜。
伺機行動……
當用戶在廣闊的互聯網世界衝浪時,如果不採取必要的防護措施,很容易就會被惡意程序所感染。這是因為我們所使用的軟件以及 操作系統都非常複雜,而這些軟件或系統也包括了一些脆弱的部分,但未經特殊訓練的人是無法看到的。但是,這些弱點在一些特殊情況下卻能夠導致嚴重問題或錯 誤。例如,有些數據可能不是軟件開發者所提倡的,但這些錯誤卻能夠使得被某些人所利用,在用戶系統上運行惡意程序。惡意程序種類以及大小各不相同,但最常 見的還是木馬程序。
如果用戶未經過考慮就點擊電子郵件或者即時通訊工具中的鏈接,或者訪問一個未知的網站(有時候可能是知名網站,但已經被惡 意程序所攻陷),就面臨著將惡意軟件下載到計算機上的風險。惡意軟件會在用戶毫不察覺的情況下,隱蔽地從事惡意行為。為了欺騙用戶,讓他們認為惡意軟件的 行為是正常合法的,木馬通常會將自身代碼注入到系統服務中,或者將自身偽裝成重要的系統服務。
如果計算機本身沒有安裝反病毒軟件的話,一旦木馬進入系統就開始運行,並常駐系統。木馬功能強大,甚至能夠「監視」用戶的 行為、用戶開啟的軟件以及用戶鍵入以及接收到的各種數據。
在一些安全警惕性較差的用戶所使用的計算機上經常能夠發現多種惡意程序,其中最常見的是一種被稱為ZBot的木馬間諜軟 件。此名稱是ZeuS木馬的首字母和單詞「bot」的組合,表示此惡意程序是一種網絡機器人程序,即能夠自動執行任務的程序。而這種惡意程序所執行的任務 就是竊取受感染計算機上的個人數據。
危險的特性
ZBot(ZeuS)家族木馬最早出現於2007年,由於此類惡意程序配置簡單,而且能夠有效地盜取用戶的在線數據,使得 ZeuS木馬成為互聯網黑市上傳播範圍最廣,銷售量最高的間諜軟件。
讓我們仔細分析一下為何此木馬造成如此大的威脅呢?下面,我們簡要介紹一下此惡意程序在受感染系統中的行為:
- 任何「記錄」於計算機上的信息(例如當你選中「記住我的密碼」選項時),都可以被ZeuS木馬竊取,這些信息包括賬號、密碼以及其它 各種用戶在網上鍵入的信息。
- 即使用戶未選擇讓計算機自動記住相關信息,木馬還會通過記錄用戶的擊鍵以及輸入順序的方式來獲取用戶的在線賬戶信息,並將竊取到的信 息發送到殭屍網絡控制中心。
- 為了阻止鍵盤輸入信息被監視,很多網站都採用了特殊的軟鍵盤輸入技術。用戶通過鼠標左鍵點擊虛擬鍵盤上的健進行密碼的輸入,整個過程 在屏幕上可見。針對此情況,ZeuS木馬採用一套獨特的機制截獲用戶數據,一旦用戶按下鼠標左鍵,ZeuS木馬就開始截屏,這樣用戶在虛擬鍵盤上輸入的信 息都可以被木馬所記錄。
- 宙斯木馬能夠控制所有通過瀏覽器傳輸的數據,如果你試圖打開一個已經被宙斯木馬控制的網站,木馬很可能會在用戶看到網頁內容之前修改 網頁代碼。修改後,網頁上會新出現一個字段,要求用戶輸入一些個人信息。例如,當用戶在訪問網上銀行網站時,要求用戶輸入用戶名和密碼或PIN碼,由於確 信此網站確實是正規的銀行網站,用戶會毫不猶豫地輸入相關個人信息。但是,正規的網站不會向用戶索取此類絕密信息,就這樣,網絡罪犯通過宙斯木馬竊取到用 戶的網銀賬號。
- 用戶在某些網站註冊時,會生成一種特殊的電子簽名,用戶每次訪問該網站時都需要驗證此簽名。如果你的瀏覽器中不包含此簽名,則無法訪 問網站的全部功能。如果計算機被宙斯木馬所感染,木馬會自動查找此類簽名,將其發送給黑客。
- 如果黑客想要利用受感染計算機從事其他非法網絡活動(例如發送垃圾郵件),可以利用宙斯木馬遠程安裝各類所需的軟件。
即使用戶的計算機目前沒有什麼值得黑客竊取的數據,網絡罪犯也不會輕易放過用戶,他們還很可能會利用用戶的計算機從事其他 網絡犯罪活動。
受感染的計算機會組成殭屍網絡,統一受網絡罪犯的控制。被控制的受感染計算機就好像人們手中的玩偶,任人擺佈。但是,受感 染計算機用戶通常還毫不知情,不知道自己計算機已經被劫持用來發送垃圾郵件或者偷偷訪問其他網絡資源。受害者可能被感染數月,也不知道自己被網絡罪犯利用 了。
變化無常、傳播廣泛
ZeuS木馬能夠非常有效地竊取用戶的數據,並且可組成殭屍網絡,所以能夠被用於多種網絡不法行為。這使得ZeuS木馬成 為網絡罪犯首選的做案工具。
現在,幾乎所有從事網絡犯罪的人都試圖獲取此木馬。此外,對此木馬進行定製,適應不同人的需求也並不複雜。網絡罪犯還可以 輕易將其加密,阻止反病毒軟件的檢測。網絡罪犯甚至可以在購買此木馬時,選擇定製一些功能,這使得此木馬在黑市中非常搶手。
此類木馬的傳播範圍較為廣泛。下圖是此木馬每月出現的新變種數量統計:
2007年-2010年新發現的ZeuS木馬變種數量
2007年秋季之前,ZeuS木馬僅靠其編寫者進行銷售和傳播。到2007年中期,木馬作者停止了銷售。 但是,到那時候,很多黑客們還是已經掌握了ZeuS木馬的基礎代碼。
關於殭屍網絡的詳情,請閱讀下面兩篇文章:
一些網絡罪犯開始著手修改此木馬的代碼,傳播其變種。從2007年10月開始,ZeuS木馬的變種數量開始大幅上升。到 2008年,此木馬已經形成穩定的客戶群。直到當年9月,此木馬的活動均沒有顯著的波動,保持著每月500種新變種的上升趨勢。
ZeuS木馬的顯著增長出現於2008年末,正好處於全球經濟情況全面下滑時期。很多程序員以及高級計算機用戶都在經濟危 機中丟掉了工作。在這種情況下,有人試圖通過「不正當」手段在互聯網上進行詐騙,從而增加收入,並不出乎人們的意料。那麼,他們應該求助於誰呢?不必說, 他們很可能會求助於ZeuS木馬的銷售者,因為這種木馬已經被證明非常有效。
ZeuS木馬變種數量於2009年5月達到歷史最高,新變種數量達到5,079個。可以試著想像一下,每月有5,000個 此木馬的不同版本出現於互聯網上!如此快速的繁衍,使得ZeuS木馬成為惡意程序中的「銷售冠軍」。由於用來將此木馬代碼進行加密的算法後來已經被很多人 所熟知,很多反病毒系統逐漸能夠識別此木馬,並且將其加入了反病毒數據庫中。
但是,惡意程序作者也在不斷升級他們的加密算法,使得這些惡意程序很難被發現。例如,20009年初,惡意程序編寫者注意到ZeuS木馬的 需求量很大,所以決定在最初版本的ZeuS基礎上進行一些大的改動。尤其是要改進其加密算法、程序代碼以及配置文件。
ZeuS木馬還會定期更改其外觀。一旦感染系統,它會利用多個互聯網地址進行自我升級。一旦感染計算機上被新的木馬變種所 代替,以往用於對付舊變種的安全措施將變得無效。面對這種情況,就需要有極快的反應和應對措施,即要求反病毒軟件公司的分析人員必須時刻關注這些惡意程序 的變化。一旦木馬採用了一種新的加密算法,就需要反病毒分析專家快速反應,給出針對此新變種的應對方案。
ZeuS木馬從誕生到現在,已經有超過40,000個變種。從龐大的變種數量以及其用於向殭屍計算機發送指令的不同地址數 量(即命令控制中心)來看,ZeuS已然是當前最為流行的惡意程序之一。
感染規模
要瞭解ZeuS木馬所造成的感染規模情況,讓我們先來瞭解一下被此木馬感染後受控於網絡罪犯的計算機數量。
2009年,一篇報告稱僅美國就發現有超過360萬台計算機感染宙斯木馬。這還僅僅是一個大概數據,事實上數量應該會更 大。而且,確切統計受感染計算機數量也非常困難,因為就算很多家用計算機用戶感染了此木馬,也渾然不知。
2009年初,曾經發生過一起奇怪的事件,當時有大約100,000台計算機突然無法啟動,而且都是同一段時間內發生的此 類現象。稍後,證實這些計算機曾經被ZeuS木馬所感染,組成過殭屍網絡,計算機無法啟動是因為殭屍網絡控制中心向計算機發送了指令,摧毀了計算機的操作 系統(這是事實——ZeuS木馬能夠實現這些功能)。相關專家一直試圖解開此次事件發生的原因,最終認為有兩種可能:(1)殭屍網絡的命令控制中心被某個 黑客攻陷,此黑客發送了摧毀計算機系統的指令,目的是陷害此殭屍網絡的「主人」。或者(2)此指令是由殭屍網絡主人自己所發送,因為其已經獲取到了他想要 得到的信息。如果是後一種情況,網絡罪犯可能是想為自己爭取更多的時間從竊取到的用戶賬戶中洗劫錢款,因為這時候受害用戶們可能正在忙於修復被損壞的系 統。但是,第一種可能發生的幾率則更大一些。為什麼呢?事實上,當時有某個ZeuS殭屍網絡運營者在網上相關論壇尋求過幫助,詢問如何保護自己運營的殭屍 網絡不被未授權訪問。因為其他黑客入侵了他的殭屍網絡控制中心,造成他失去了對上萬台計算機的控制。(這類事件在黑客圈內很常見。)此外,令人驚奇的是, 此網絡罪犯似乎對這次損失不以為然,因為他又迅速建立了兩個殭屍網絡,其中分別包含超過30,000台和3,000台受感染計算機。
最近被檢測到由ZeuS木馬組成的大型殭屍網絡名為Kneber,位於美國,於2010年2月被確認。經研究發現,此殭屍 網絡控制的計算機遍佈196個國家2,500個不同組織,總計算機數量大約為76,000台。
當然,這也僅僅是冰山的一角。被ZeuS木馬感染的個例經常又引發出成千上萬的被感染計算機,預計所有被ZeuS木馬所感 染從而組成殭屍網絡的計算機總數超過百萬。
「首選域名」
每個ZeuS配置文件中都包含一些互聯網地址,木馬會監視這些網址。一旦用戶感染配置文件中包含的網址並且輸入數據 時,ZeuS木馬會將這些數據截獲,並發送給網絡罪犯。
卡巴斯基實驗室在對三千個宙斯木馬配置文件分析後發現這些地址是有規律的。
我們將這些地址分為幾大類,從而確定此木馬最常用的域名類型,如下所示:
最易遭受ZeuS木馬攻擊的域名
可以看到,最容易遭受攻擊的是一些國際域名如.org和.com,這些域名大部分都掌握在一些組織或者大型公司手中。
何種類型的.com網站最容易遭受ZeuS的攻擊呢?木馬又是在用戶訪問那些網站時截獲數據呢?以下是14個最易遭受攻擊 的國際網站:
最容易遭受ZeuS攻擊的.com域名
在最易遭受惡意攻擊的11個.com域名資源中,只有3個不是銀行這類的相關金融機構,而是商業互聯網服務提供商。其 中,Paypal.com利用信用卡和借記卡的形式可以將在線支付中的虛擬貨幣同現實貨幣聯繫起來。同PayPal類似,E-gold.com也允許用戶 建立虛擬支付的賬號,用於在網上進行黃金和其他貴重金屬交易。eBey.com則是一個非常流行的在線拍賣網站,同樣使用在線賬號讓用戶對商品拍賣。餘下 的網站則是一些洲際銀行,同樣提供互聯網銀行服務或其他類型的在線銀行服務(允許用戶在線管理自己的銀行賬戶)。
最易遭受惡意攻擊的國家域名分別為於西班牙和英國註冊的域名。由於這些國家所擁有的在線金融管理服務最多,所以最能引起網 絡罪犯的注意。這兩個國家分別擁有大約20個銀行業務相關的網站,這些網站的用戶訪問量差別也不大,而其他國家僅有少量此類網站註冊本國域名。
但是,上述數據也不能表明西班牙和英國的網絡罪犯數量比其他國家的多。事實上,網絡罪犯更傾向於竊取其他國家公民或者組織 的錢財,雖然盜竊案發生地是在本國的管轄範圍,但要將居住在另一個國家的罪犯送上本國的法庭,執法機構必然會遇到法律上的阻礙。
受災嚴重的地區
除了容易遭受攻擊的URL地址外,我們還收集了木馬感染來源以及被竊信息被發往的互聯網地址數據。經過分析,我們繪製了一 幅ZeuS木馬服務器的地理分佈圖,如下:
ZeuS木馬服務器分佈圖
如圖所示,這些被用來充當殭屍網絡服務器的地址遍佈全球。但是相對來說,網絡罪犯更傾向於將這些服務器設在歐洲、北美、俄 羅斯以及中國地區。原因很簡單,因為這些國家都具有一個共同點,即互聯網託管服務較為發達。
ZeuS殭屍網絡命令控制中心最為集中的區域
通常,要確定網絡罪犯的地理位置非常困難,而且也並非特別重要。「惡意程序編寫者」的概念也不具備任何地域或國界區別。所 謂的「惡意程序編寫者」有可能來自瑞典、中國或阿根廷,而他可能此刻正坐在火奴魯魯的某個咖啡廳。他從事網絡犯罪所註冊的網站域名有可能是.ru(例如 microsoftwindowsxp.ru),但這個域名的服務器卻隸屬用意大利的互聯網服務提供商。
保護措施
那麼,有什麼簡便的方法可以保護我們的計算機不受ZeuS木馬的侵害呢?下面是一些很實用的技巧,其實讀者們應該可以發 現,這些技巧主要還是一些標準的互聯網安全守則。
首先,永遠不要輕易打開陌生人發送的未知鏈接,包括即時通訊工具或電子郵件中的鏈接,不管其表面看起來如何安全或者具有迷 惑性。網絡罪犯通常都精通基本的心理學,經常會利用普通用戶的弱點或天真,誘使他們訪問自己控制的惡意網站。此外,還經常能夠看到URL地址通過調換字符 偽裝成常見的合法的網絡地址的情況,例如:hxxp://www.vkontkate.ru. 這種欺騙手段近期很常見。所以,當你遇到一些包含『Abibas』田徑服或者『Panascanic』音箱信息的時候,一定要謹慎,不要被網絡罪犯所欺 騙。
又是,我們所接收到的信息中可能會包含一些中性文字,表明看上去很像是輸入所發送的,例如:「Hi!週末的旅行還好吧?我 告訴你一條不可思議的消息,點擊:http://rss.lenta-news.ru/subj/vesti.exe」。請注意這類信息末尾的.exe文 件後綴,這表明此文件是Windows操作系統下的可執行文件。表明上看,此鏈接指向的網站應該是一個新聞網站,但如果你點擊了此鏈接,訪問的卻是惡意網 站。而且不僅僅可執行文件,其他文件包括.pdf(Adobe Reader)、.ppt(微軟Power Point)、.swf(Adobe Flash)以及其他一些格式的文件都可能包含惡意程序。這類格式的文檔通常結構複雜,打開的時候需要複雜的程序運算。此外,這類文檔的開發者賦予了此類 文檔添加程序代碼的機制(例如javascript)。網絡罪犯可以在此類文檔中植入數據,造成用戶在打開這些文檔時程序發生錯誤,從而讓惡意程序有機會 在計算機上運行。如果你安裝的反病毒軟件,並且經常定時更新,則可以很好的保護自身安全。因為反病毒軟件會檢測到程序或文檔中的威脅,阻止惡意程序啟動。 或者程序開發者發現程序的漏洞,會通過反病毒軟件及時提醒用戶安裝補丁。
在電子郵件、MS Word文檔或者其他類似的文檔以及網頁中,一個鏈接的真實地址往往會被隱藏。用戶能看到的僅僅是該鏈接的簡單介紹,而這些介紹內容取決於鏈接發送者,他 可以選擇任何顯示內容,以達到吸引用戶點擊的目的。這種情況下,要查看真實的地址(雖然地址也可以假冒),只有將鼠標放置在鏈接處才能顯示出來,或者會顯 示在瀏覽器的底端。 如果通過這兩種方式都無法產看真實鏈接地址,可以查看一下鏈接的屬性。如果你不確認此鏈接具體指向哪個網站,最好還是不要點擊!
你是否很習慣自己的操作系統呢?它記錄了很多你的信息,幫助你處理很多事情。每次你使用時,系統不會頻繁要求你確認,或者 每次操作時都提示你輸入密碼,你可以很快速地訪問到自己的數據。對於你的系統,你感覺到非常熟悉,並且對其上面運行的程序也非常信任。但如果上面有一個惡 意程序,那麼所謂的安全感就完全沒有了。網絡罪犯通過惡意程序同樣可以快速地訪問到你的數據,給用戶造成損失。例如,任何你所使用的瀏覽器「記住」的信 息,都可以被惡意程序所訪問。而且實際上,系統越方便,遭受攻擊的風險也越大。所以,我們強烈建議用戶儘量不要使用瀏覽器的「記住密碼」等之類的功能。
此外,還建議用戶關閉瀏覽器的運行Javascript腳本選項或者在frame/frame窗口中打開任意文件的選項。 當然,這樣會犧牲用戶瀏覽網頁的性能,但是安全和性能不能兩全。當然,對於完全信任的網站,用戶還可以再開啟此功能。同時,我們也建議關閉Adobe Reader中的Javascript選項。
目前,主要有兩種方式可以確保在線支付的安全。第一種是通過電話對在線支付進行確認。所以,支付成功除了需要登錄名和密碼 外,還需要一個電話號碼。這樣,使得網絡罪犯很難獲取到你的錢財。網絡罪犯如果想要從事不法行為,除了要竊取你的用戶名和密碼外,還必須要獲取到你的電話 號碼,這一步是很難通過互聯網實現的。這種保護手段聽上去很奇怪,並且確認方式也相對簡單,但是此方法應用卻不廣泛。另外一種方式主要被銀行所廣法使用, 即發放給用戶(即銀行客戶)U盾(一種USB設備)。在進行在線交易時,必須將U盾連接到計算機上,從而確認使用網上銀行的是客戶本人。但是應該明白,這 些U盾改採用的加密技術都相似,總有一天網絡罪犯會破解這種基於USB的設備。
最後,我們希望您能夠享受安全的網絡生活,享受科技以及互聯網帶來的各種便利。同時,我們也提醒用戶一定要保持警惕性,瞭 解必要的安全常識,就好像我們在日常生活中應該注意的一樣!
