RSA2013-现场摧毁P2P僵尸网络sinkholing.pdf

ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控丨 1 RSA2013:现场摧毁 P2P僵尸网络 sinkholing 据来自旧金山的 2013RSA 信息安全大会的消息，虽 然联合执法摧毁僵尸网络已经司空见惯，可能甚至还有点 儿没劲，但在上周，参加 2013RSA 信息安全大会的安全专 家，却看到了僵尸网络在现场被实时摧毁，这着实振奋人 心。 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控丨 2 TillmannWerner是信息安全防御公司 CrowdStrike的 高级安全研究员，他现场实况演示了控制 P2P 僵尸网络的 过程，令与会者惊讶不已。当 Werner 开始展示一些多数观 众都无法破译的简短代码时，这次展示的高潮部分开始了。 Werner 把展示切换到一张世界地图，形象地展示了他与每 一台被感染机器的通信。在展示过程中，一个红点变成五 个，然后很快变成二十个。观众们鼓掌喝彩。 根据 DroneButcher 的行动手册：控制 P2P僵尸网络的 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控丨 3 现场演示，Werner 展示了他利用 sinkholing技术攻击 Kelihos 僵尸网络操作幕后的许多技术。实际上，可破译 的 shinkhole替换了僵尸网络命令中心与受其感染机器之 间的通信。由于 Kelihos 僵尸网络的 P2P性质，这个本身 已经非常复杂的任务就更加困难。 Werner 说，我们认为这个僵尸网络很有挑战性，因为 它是 P2P 的。对付 sinkholing就困难得多，因为没有中央 服务器。Werner 首先演示了以前的 Kelihos版本以及在每 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控丨 4 个版本被控制之后发生的事情。在 kelihosA 感染了 5 万台 机器后，在 2011 年 9 月得到遏制。KelihosB 在大约三周 后运行，在它感染了大约十二万台机器后，于 2012 年 2 月也最终被控制。 Werner 展示中被摧毁的 Kelihos 版本是 KelihosC，在 前一个版本被拿下后，居然活跃了还不到 20分钟。Werner 估计，在被2012年5月的一个有稍许变化的版本替换之前， KelihosC 已经感染了大约四万台机器。 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控丨 5 一位与会者问，为什么 Kelihos 每个版本出现得如此 之快。Werner 回答说，“他们从其它犯罪组织购买安装， 这当然会很快了。”对执法部门和反僵尸网络的相关人员 来说，虽然新生活中这种不断重复的反复可能令人泄气， 但 Werner 说每一次击垮僵尸网络仍然会给犯罪组织带来 经济损失。他们通过一次一次地改造自己的僵尸网络，可 以做同样的事情。但在他们每次做这些事情时，必须花费 更多的钱。 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控丨 6 但对一个僵尸网络打击成功，也不能宣告胜利。恰恰 相反，必须准备好基础架构，以应对报复性反击。Werner 说，“你在消灭一种商业交易，而这些人不喜欢你这样 做。” 即使技术能力和人力可进行这种操作，能否确保这种 打击合法还是问题。Werner 所演示的攻击要与许多不同的 执法部门和政府机构等协作，其中包括 FBI。此外，他告 诉与会观众，进行这种操作需要一种规避风险的方法，这 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控丨 7 意味着在作出任何举动之前需要咨询大量的法律顾问。 Werner 说，“我的意思是，这种操作是否合法，并不是我 决定的。我会推测这样做仍是合法的，但我们也可能置身 于困难。” 作为攻击之后的清理工作，互联网服务供应商和 CERT 要相互联系，从而有助于对付残余的受感染机器。微软还 会提供检测功能作为它反病毒套件的一部分，在摧毁 KelihosB 僵尸网络的案例中，同样的措施仅仅减少了 50% ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控丨 8 的感染机器。Werner 说：“我们希望这次会更成功，可以 极大地减少感染数量，从而摧毁 sinkhole。” 據來自舊金山的 2013RSA 信息安全大會的消息，雖 然聯合執法摧毀僵屍網絡已經司空見慣，可能甚至還有點 兒沒勁，但在上周，參加 2013RSA 信息安全大會的安全專 傢，卻看到瞭僵屍網絡在現場被實時摧毀，這著實振奮人 心。 TillmannWerner是信息安全防禦公司 CrowdStrike的 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控丨 9 高級安全研究員，他現場實況演示瞭控制 P2P 僵屍網絡的 過程，