僵尸网络(英文名称叫BotNet),是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而,制作一个僵尸网络是非常困难的,黑客需要具备非常高的编程技术和网络技术,一般人无法制作这类病毒。
据BitDefender反病毒实验室的最新监测数据,目前在网络上发现了一款制作僵尸网络病毒的SDK包,攻击者只需要启动该SDK,输入一个Twitter的用户名,作简单设置,就可以针对知名社交网站Twitter的用户发布僵尸网络攻击。
黑客将会从远程查看Twitter用户的用户配置文件(通过http://www.twitter.com/userprofile),然后对Twitter用户实施攻击。为了避免攻击过程被发现,通常整个攻击过程会通过以下6个步骤不定时地间隔执行。
1. 发布访问命令。VISIT……VISIT命令有2个参数……VISIT*[URL]*(0,1)。
URL:即被访问的网页地址
参数0:静默方式访问,没有任何窗口
参数1:被访问的网页有窗口提示
2. 发布。SAY命令。改命令只有一个参数,例如:。SAY*内容……SAY命令会被Microsoft的文本发音引擎识别。到此阶段,僵尸病毒的攻击看起来并不具备破坏性,只是个玩笑病毒,从下面的阶段开始,我们才真正认识它的可怕:
3. 下载命令。DOWNLOAD。下载病毒程序到PC……DOWNLOAD命令参数格式:
.DOWNLOAD*URL/virus.exe*0 或者。DOWNLOAD*/URL/virus.exe*1
如果是。DOWNLOAD*URL/virus.exe*0则下载病毒,不立即执行病毒。
如果是。DOWNLOAD*URL/virus.exe*1则下载并执行病毒
4. 发布DDOS攻击……DDOS*IP*PORT命令将启动UDP端口,对指定的IP,端口的计算机、路由器、网关发布泛洪攻击,被攻击的PC,路由器,网关将陷入瘫痪,拒绝提供服务,由此整个僵尸网络攻击将提升到一个高度破坏的层次。
5. 停止攻击。STOP。黑客可以随时发布。STOP命令,停止僵尸计算机的攻击行为。
6. .REMOVEALL命令。黑客从远端发布。REMOVEALL命令,将僵尸病毒与Twitter的链接断开,暂时进入休眠状态,直到被黑客远程唤醒。僵尸计算机接收到。REMOVEALL命令后,由于停止了网络数据的传输,网络管理员即使使用网络抓包工具例如Sniffer,Wireshark等都无法查出攻击行为。
从病毒的整个攻击过程和行为我们可以判断,这只是一个初始阶段的实验,黑客第一次将僵尸网络攻击和Web 2.0的社交平台结合,实验病毒的效果。病毒制造者并没有花费太多精力去保护逆向工程或检测和终止产生的僵尸病毒,虽然有缺陷,但是对普通电脑用户也极具危险,Twitter用户的个人信息可能完全被黑客掌握。
另外,从攻击的形态我们可以发现,黑客的攻击方式也变得更加复杂,只要拥有一个Twitter账户,黑客就可以用通过计算机网络来发动攻击,同时,黑客还可以利用手机登陆Twitter,发布几条简单的指令便可发动攻击,并不留任何犯罪活动的踪迹。
BitDefender已发布紧急更新,并将该病毒命名为Trojan.TweetBot.A,以防止由僵尸网络病毒SDK包的出现引发针对Twitter用户的攻击,造成更大的破坏。同时,BitDefender还发布了针对该病毒的专杀工具,下载地址:
http://www.malwarecity.com/files/Anti-TweetBot-EN.rar. |
