2014年以来,安全企业RiskAnalytics一直在互联网上跟踪一个特别具有传染性的僵尸网络。经过了两年的研究,RiskAnalytics发布了一份报告,解释了这个世界上最成功的僵尸网络之一为何仍在扩散。在报告里,RiskAnalytics详细阐述了Zbot僵尸网络如何使用一项被称为“Fast Flux”的技术,绕过检测并保持存活。僵尸网络是一系列被感染系统(有时被称为僵尸)的集合,攻击者可以使用命令与控制系统来控制它,攻击互联网上的其他用户和站点。Fast Flux技术利用DNS隐藏攻击的来源,至少自2007年开始就已有人使用它。DNS本来的工作方式是将域名转发给DNS解析器,获取对应的IP地址。使用Fast Flux,攻击者可以将多个IP地址的集合链接到某个特定的域名,并将新的地址从DNS记录中换入换出,回避检测。
Noah Dunker是RiskAnalytics公司安全实验室负责人,他表示:“许多僵尸网络使用的并不是Fast Flux,但就我们所看到的而言,所有Fast Flux活动都至少与某种僵尸网络有关。Fast Flux基本上是僵尸网络的一个子集,而‘Double-flux’这个术语讲的则是Fast Flux使用的DNS服务器本身就托管在Fast Flux网络上。”
Zbot僵尸网络起源于Zeus银行木马,由于受到微软组织的一次联合行动打击,后者仅在2012年之前属于世界上最活跃的木马之一。Dunker指出,如今的Zbot和Zeus基本关系不大。
当代的Zbot僵尸网络使用Fast Flux技术,因此,企业很难通过特定的IP地址范围来防范该僵尸网络。Wayne Crowder是RiskAnalytics公司威胁情报部门主管,他解释称,公司使用了复杂的算法来检测与Fast Flux指标相吻合的域名。这种检测会自动进行处理,移除合法的内容分发网络域名。
他说:“这一处理过程之后将通过将所有的IP地址解析与多种其它的指标比对分析,找出受感染端点与合法服务或内容的不同之处。”
企业封堵Fast Flux僵尸网络的风险在于,由于IP地址始终在更换,可能出现假阳性。RiskAnalytics耗费了大量精力,在创建选择算法时使用了更多的参考量,以创建自有的Fast Flux信息订阅,并将其提供给设备和威胁情报客户。
“比如,行业内使用的一些基础算法会认为某几个合法的内容分发网络十分可疑,但如果使用其他的参考因素,就很容易将它们过滤掉。”
在RiskAnalytics测试Zbot的两年时间里,这一僵尸网络实际上已经利用Fast Flux,重新使用了一系列IP地址。Dunker指出,他的公司经常会看到同样的受感染系统在沉寂一段时间之后重新出现。
“有时候整个域名都会被停止使用一段时间,然后在几天、几周、甚至几个月之内恢复工作。今天五月份,在写论文的时候,我们发现在我们2014年最初开始进行研究室发现的23个受感染系统如今仍存在于同一个僵尸网络中。”
Dunker估计,Zbot僵尸网络将在未来一段时间内持续增长,也会有更多的服务使用它。Crowder指出,RiskAnalytics预计Zbot网络在可预见的未来将会作为赢利性项目在地下黑市上出售。他说:“我们已经看到了许多勒索软件使用这一僵尸网络,在未来,还会有更新、更多种类的恶意软件使用它。”
Crowder担心,该僵尸网络的下一代版本可能会扩张到其它类型的网络,甚至是物联网。如果智能电视、家用电器和其它互联设备成为了Zbot僵尸网络的一部分,Zbot可能会变得更加难以追踪和阻止。
Crowder说:“除非Zobt代码遭到泄露,或者销售和托管它的罪犯们被抓到,我们能做的唯一切合实际的事情就是监测该网络的动向,并尝试进行限制。”本文转自d1net(转载)
相关资源:论文研究-一种基于GBDT的Domain-flux僵尸网络检测方法的设计与分析 .pdf