2009是一个恶意软件和恶意网络活动显著的一年,它们中一部分跟所谓的僵尸网络有关。僵尸,或者蠕虫,是指一台被恶意软件感染的PC, 它处于罪犯的远程控制之下。罪犯们管理着下至几千台上至几千万台被感染的机器的网络,并用它们来实施大多数我们今天能见到的网络犯罪,包括垃圾邮件,分布式拒绝服务攻击(DDoS),流氓安全软件(scareware),网络钓鱼,和恶意或者非法网络外挂(website hosting)。每一次网络犯罪都有它们一份。
在上半年,一个叫Conficker的病毒(也叫Downadup或Kido)抢走了恶意软件世界里所有的头条。让很多比较歇斯底里的评论者失望的是,较后Conficker 强势网络被发现其实发送的只是标准的网络犯罪手段,比如垃圾蠕虫,假的AV(或者流氓安全软件)。不过不要仅仅因为这次病毒爆发吸引的巨大注意力同样迅速的消失,就傻乎乎的认为这波威胁已经过去了。Conficker工作小组,一个安全卖家、研究人员和其他商业组织的联盟较近表示大约有六百万个IP地址被这种恶意软件感染的。
2009年的另一个趋势是为不良目的对社交网络供应商的滥用成指数级增长。像Facebook, Twitter 和 MySpace这样的站点上庞大的活跃用户人群对于有组织的网络犯罪和它们赚钱、蠕虫征募和推出假AV的流氓措施来说是一个相当有吸引力的目标。Facebook被一些流氓应用程序滥用,设计者以此欺骗用户去点一些关联广告网络的按次计费的链接来获利。它也被用来通过许多方式散播恶意软件;在wall posts和messages里的恶意链接是特地设计用来劫持账号,从外部危及合法的Facebook应用程序。恶意软件Koobface家族(也是一个僵尸网络)2009一年一直在发展;较初它通过恶意的messages和wall posts传播,这些恶意信息里含有由一个假的多媒体数字信号编解码器伪装成YouTube站点的链接。这个编解码器当然不是真的,而是会导致病毒感染和账号劫持。然而现在的Koobface已经进化到完全可以仿造自己的假的Facebook页面,包括完整的被确认的Gmail邮箱地址,照片和个人详细信息。这个伪账号还可以完全自动的发送加入网络和加为朋友要求。
有意思的是,除了垃圾邮件和恶意软件之外,在2009年这一年中web2.0站点被各种新的令人担忧的方式滥用。Twitter 和Google Reader在垃圾邮件攻势中被用来作为着陆页面(landing page),试图冲破电子邮件信息中的URL过滤。近几个月来,Twitter, Facebook, Pastebin, Google Groups 和 Google AppEngine都被利用作为僵尸网络的代理指挥控制服务器。公共论坛也已被用来将编码过的命令发布给全世界的僵尸网络。过去认为一台PC每天发出一次标准的网络连接到Facebook, Google 或者 Twitter,甚至几次,是完全正常的。然而,如今僵尸网络制造者和罪犯寻求消散他们的指挥和控制基础设施并将它们融入因特网的白噪音中,那就不再是这么一回事了。
2009年僵尸网络的大部分创新都是围绕着指挥和控制系统,这不是巧合。大量的老式IRC控制的僵尸网络在24小时内就能被关闭,P2P的蠕虫也常常会留下明显记号,使得它们只能在机器级保持中立。我认为网络罪犯目前正致力的web 2.0僵尸网络控制的一个问题,也是他们的软肋,太依赖与单一提供者如Facebook或者Google―关掉恶意的Facebook页面就切断了僵尸网络。制造者们为分散它们的管理基础设施,fast-flux和P2P协议投入大量时间和代码。我们完全可以预见得到他们会带着这些教训进入更新的“云触发”僵尸网络。据报道仅上个礼拜一个名为Zeus的僵尸网络就利用Amazon的EC2服务来指挥和控制。所以较新的Koobface变量完全有可能自动生成各种个人页面,它们可以用来减少使用单一Facebook或者Twitter页面作为转换渠道所带来的缺陷。
对于僵尸网络,能够说“情况越来越好了”真的非常棒。可事实上不是。越来越多的计算机正在被感染,而且感染的时间越来越长。