【大纪元1月22日讯】(大纪元记者陈常鹏编译报导)近两年来虽未再出现大规模的网路攻击事件,但利用僵尸电脑网络来进行经济犯罪的活动却不曾稍歇。专家指出恶意程式不断刺探互联网的弱点,目前它们已加强了隐蔽性与杀伤力,使其威胁程度不断升级。
随着网路骇客侵入技术日益诡谲多变,连线网路的个人电脑在不自知的情形下被秘密植入后门程式而变成僵尸电脑(Zombie Computer)的受害个案亦不断上升,这些电脑像是被下了诅咒般在特定时机下便变得如同僵尸般受外部命令所控制。
称为僵尸网络(botnets,原义为机器人网络)的系统性破坏组织即是集合成千上万受害电脑所组成的僵尸大军,它们集结而成的力量已被用来执行许多非法的互联活动。它被认为是网路上暴量的垃圾邮件、诈骗案及资料窃取等活动的主嫌。它们使电脑病毒及恶意程式能自动化运作,加强了它们的危害,所以一直是安全研究者所注意的目标。
据《纽约时报》报导令人担忧的新发展是,某些恶意程是可精确地扫描到电脑中的敏感资料,如企业及个人资料、金融资料等,用以盗取线上存款户的金钱及股票获利等。
设立于以色列的网路安全公司Beyond Security之研究员伊夫朗 (Gadi Evron)组织了一个国际打击僵尸网络的志工队,他说:“这种犯罪可称得上完美,兼俱低风险与高获利率。”“互联网安全的战争在很早以前就已经输了,我们必须想好现在该怎么做。”
台湾的电脑安全业者趋势科技 (Trend Micro)之首席技术长朗德(David Rand)表示,去年在某国海岸警备机构发现了一个系统地搜集含有货运时程之电脑文件的程式,蒐得的资讯最后转往一个设在中国的电邮地址。由于该机构为其客户,他拒不透露有关客户的详情。
由于僵尸网络具有伺机而动、难以捉摸的特性,使其实际的影响程度众说纷云。业界大多认同它们的害危已更加剧。乔治亚技术学院(Georgia Institute of Technology)的安全研究员达根(David Dagon)表示,网路科技界有一普遍认同的看法:僵尸电脑网络所波及的范围大约占连线互联网电脑总数的11%,即超过650万台。
据《CNET》报导,防毒业者Sophos对2005年前半年全球垃圾信转寄数量所作的统计指出,美国地区是当时垃圾信转送最严重的国家。其中近六成系透过遭入侵的僵尸电脑所发送。垃圾邮件转送国排名前十大,第一为美国地区,占26.35%,其次为占19.73%的南韩、占15.7%的中国地区,以及占比为5%以下的法国、巴西、加拿大、台湾、西班牙、日本、英国等地。
至2006年6月时,CipherTrust的研究报告则显示全球专门发送垃圾信件的邮件服务器当中,台湾竟占了64%,其次则为美国的23%,中国则占3%,其中仍以僵尸电脑的问题特别严重。 IDC(国际数据资讯)软体产业分析师陈志杰表示,该数据突显出台湾企业在资讯安全防御的警觉性低落,没有作好防御措施,导致企业电脑被植入后门程式而不自知,成为垃圾邮件发送的跳板。
由以上的变化得知,受害的电脑族群分部可能瞬息即变,僵尸网路会不断探寻有安全漏洞的网域。
电脑病毒及各种恶意程式的肆虐可追溯至1988年,当时全球约只有60,000台电脑上网,所受的破坏事后尚可修复或以补丁补漏。但近年来,网路攻击事件越来越具有地方性、多样性。僵尸网的出现更惊动了初期建构互联网基础建设的专家们。
互联网的开拓者之一、卡内基美隆(Carnegie Mellon)大学的电脑科学家法尔伯(David J. Farber)说:“它代表者一种威胁,却很难解释。它是一种隐伏性的威胁,最令我担心的是人们尚不清楚其问题的严重程度。”当提及安装窗视窗作业系统的电脑时,他补充道:“这种最普及的电脑很轻易就可侵入,真令人感到害怕。”
目前僵尸程式的宿主还是以视窗作业系统的电脑为主,但Linux及Macintosh作业系统也有零星的受害案例。网路黑客都是利用蠕虫病毒或后门程式进入个人电脑,输入恶意程式码。程码可分为主动和被动两型。被动者如后门程式,静静等待被唤醒;主动者像间谍软件,会收集各种资讯定时往外发送。
恶意程式可藉由电邮附件、网页下载,甚至是隐藏在拍卖网上兜售的盗版软体中。这些程式一旦安装于可连线互联网的电脑后,便可接受外部指示要求电脑透过网路聊天软体(Internet Relay Chat)秘密登陆其它僵尸电脑经常进入的聊天室,接受黑客发布的指令进行犯罪活动。有的botnet程式还能放在虚构的网站上伪装成软体升级程式,等着电脑用户下载。成为僵尸的电脑也会像吸血鬼一样在网路上寻找门户大开的电脑,植入bot病毒,使之成为新的僵尸电脑。
Botnet对金融界造成的危害在最近的技术报告中可见一斑。去年夏季一位互联网安全研究人拦截到一个botnet所产生容量达200MB的档案,内含系统式收集而来的大量资讯,然后再藏在一个秘密的网址,以便botnet主人日后来取得。
据Support Intelligence网路安全资讯公司执行长伟森(Rick Wesson)表示,该档案的资料是经过30天所搜集而得的。来自793台受害电脑,并盗得54,926笔电脑登录资料及281笔信用卡卡号。该档案的资料波及到1,239家公司,其中包括35个股票经纪业者、86个银行户、174个电子商务账户及245个电子邮件账号。
伟森透露他们公司所侦测到的资讯显示,现在每日约有超过250,000起的僵尸感染个案。他也说:“这场战役我们败得很惨,即使是(防毒服务)业者也知道我们已经输了。”
设于纽约的电脑安全业者MessageLabs已作了一份年度情资报告,其中指出现在高达80%的垃圾邮件系来自僵尸网络。据趋势科技所设的垃圾邮件统计排行系统作出的数据指出,上个月某家互联网服务提供者在24小时内曾创下发出超过10亿封垃圾邮件的破历史纪录。该事件显示,这家网路服务业者所属用户的电脑已大量被僵尸化,并成交织而巨大的网络,而且只受制于单一控制点来发送垃圾信。
近期又出现了一种极为隐晦的不轨程式,它可偷偷地将电脑加入某botnet。这种新一代的恶意程式安全研究专家称其为“Rustock”。它的出现使得人们低估了僵尸网络的危害。
该程式作者宣称住在辛巴威,在互联网技术论坛中很是活跃。他表示发现了一个方法可将感染源藏匿起来,而不会留下任何传统式的数位指纹(digital fingerprints)。数位指纹系被网安专家用于侦测此类之恶意程式。
据中华民国行政院国家资通安全技术服务中心所张贴的病毒警讯指出,感染Backdoor.Rustock.A病毒的主机会被当成转送资料的代理服务器。Rustock 是一种特洛依木马后门程式,将其入侵的主机变成一台转送资料的代理服务器。并使用rootkit的技术来隐藏所产生的档案以及登录码。Rustock 还可躲过一般对rootkit工具所做的一些内核结构和隐藏驱动程式的侦测。
除此之外,目前Rustock虽已被用于散发垃圾邮件,它其实是个通用性的工具,可以与许多其它型式的非法互联网活动并用。设立于亚特兰大的电脑安全公司SecureWorks的研究员史都华(Joe Stewart)说:“它可配合其它类型的恶意程式来使用。它只是一个更具隐匿性的载运工具。”
上个月史都华曾跟踪一起以垃圾邮件推销的零股的交易经过。股票发行者为Diamant Art Corporation,在去年12月15日其每股交易价格仅为美金8分钱。该日经过11,532,726股的交易后,股价涨到11分钱。股市收盘后,某僵尸网开始暴出数百万封垃圾信件,散发炒作该股的讯息。
12月18日过完周末的星期一,该股价一开盘即上冲至每股19分,当日最终以每股25分钱收盘。据史都华的估计,如果垃圾寄件者在股价最高点时卖出持有的股票应可获利达20,000美元。
电脑安全专家们纷纷提出警告表示,botnet程式的演化进程超过安全业者所能应变的速度,而且对于依赖于商业的互联网已形成生存威胁。更使问题复杂化的是,许多互联网服务提供者、企业用户及消费大众,不是小看其危害性,就是忽略其存在。
圣地牙哥超级电脑中心的资深互联网研究员克拉菲(K. C. Claffy)说:“这是一个庞大的科学、政策及最终为社会性的危机,但现在没有任何人要负责解决这个难题。”
电脑安全产业在美的规模虽可达60亿美元,为网络经营者、企业及个人电脑用户提供了多方位的产品与服务。可惜,该产业界对于打击僵尸疫情,甚少传出捷报。克拉菲说:“他们的广告就像航空公司说,飞机很少会发生撞山的空难。”
恶意程式经由黑帽人士的不断改良,一直想击败能追踨数位指纹的软件。值此恶意程式无孔不入的时代,用户应具备基本的安全意识与知识。
资讯安全专家表示,除了购买防毒软体来建立基本防火线外,使用者安全习惯的养成对于垃圾邮件的防御亦格外重要。企业使用者必须随时做到更新病毒定义码、修补漏洞、不要开启来路不明的附件、不任意连结不知名的网站,或可大幅降低电脑形同僵尸的概率。
(http://www.dajiyuan.com)
