5月7日外电头条:发自僵尸网络卧底小组的安全报告

【51CTO.com快译】在今年早些时候,加州大学圣巴巴拉分校(UCSB)的研究小组令人吃惊的杀入了互联网的黑暗阵营,他们成功地入侵了一个僵尸网络,并且掌握了大量关键细节,可以帮助IT行业更好的保护自己免受类似威胁。研究人员来自学校的计算机科学系,他们控制了一个Torpig僵尸网络(也称Mebroot或Sinowal)长达一周多的时间,研究僵尸网络如何工作,并且更好的理解了这种威胁的蔓延方式。当然,如果您对僵尸网络还不够了解,可以参考51CTO.com安全频道中专家的详细介绍:什么是僵尸网络。在他们控制Torpig的10天内,他们还检查了僵尸网络从被感染的PC用户
那里窃取的信息,被感染的PC总数大概是18280台,其中约有17217台在企业网络上。上个月小组发布了研究报告,报告中说他们观察的僵尸网络在用户没有察觉的情况下窃取了超过69GB的数据,主要是银行帐户凭据和信用卡信息,这两者都是网络罪犯的最想得到的目标。在10天的观察中,Torpig僵尸窃取了1660个独立的信用卡或借记卡号,以及410家不同的金融机构的8310个账户。其中的热门目标包括PayPal账户1770个,Poste Italiane账户765个,Capital One账户314个,E*Trade账户304个,以及Chase账户217个(51CTO.com注,以上这些账户都是美国常见的金融领域运营品牌)。其他的被盗数据包括电子邮件地址、电子邮件帐户和Windows密码等。研究人员说,他们已将发现的信息提供给了受影响的金融机构和执法机关。避免数据被盗报告中也许最让人恼火的部分就是研究小组了解到有很多损失本是可以预防的。“我们发现,很多被感染的用户没有使用最新版本的操作系统或网页浏览器,”UCSB副教授Giovanni Vigna说,他的呼吁和所有安全工作者们一样,请让软件保持最
新的更新。然而,即使是防御周密的用户也可能被僵尸网络攻破,因为僵尸网络会使用“浏览即下载(drive-by download)”的感染技术,在合法网站中安装恶意软件。此外,根据51CTO.com安全频道专家的经验,僵尸网络等攻击手段的日益翻新,
例如0Day攻击等,也让很多传统的防御手段束手无策,比如近期的Adobe阅读器漏洞攻击等。研究小组说,虽然侵入了Torpig,但他们没有试着摧毁它,因为这样做可能有意想不到的后果,可能会促使罪犯采取进一步的保护行动。例如,Torpig现在已经使用了一种更加
复杂的算法,研究小组的成员说,对手已经察觉并且关闭了他们得以控制的僵尸网络一个漏洞。怎样潜入僵尸网络研究小组的成员首先要弄清僵尸网络要到
哪里去寻找攻击域名的指令,即他们通常用来控制网络的command-and-control(C&C)服务器。研究小组称Torpig僵尸网络使用的技术为domain flux(域名流动技术,关于捕捉动态域名或“域名流动技术”介绍请参见51CTO.com安全频道:SNIFFER透视动态域名),Torpig每周会按照一种新的顺序检查一个不同的网站,目的是使安全研究人员更难
预计僵尸的行动。
但是,研究小组证明了要想找到Torpig最新指示的攻击目标并不困难。这是因为Torpig僵尸网络在确定攻击目标时使用了比较简单的算法:使用当前的日期创建一个随机域名,
然后对该域名的.com、.net和.biz等顶级域名进行猎杀。研究小组发现,僵尸网络的主人仅提前几周才开始准备攻击,因此他们提前计算出了Torpig将很快检查的域名,并特意在名声不好的域名提供商那里购买了这些域名。这种做法收到了成效,研究小组在1月25日成功控制了C&C服务器,并开始接收Torpig收割到的所有数据。研究在2月4日停顿下来,因为僵尸网络控制者有所查觉,使用了新版的Torpig,改变了僵尸网络选择域名的算法。
那么研究小组还能够重复他们的实验来打击僵尸网络吗?有可能。“研究员们逆向研究了新算法,发现他们最近改变了域名算法,按照Twitter热门主题的第一个字母来生成域名列表。”Vigna说。但是,这样的方法不可能对每一个僵尸网络都能正常工作。虽然这次入侵Torpig的成本仅为20美元——只是注册两个域名的成本——但研究小组的报告指出,新的恶意软件已经设
计出来,如果依然采取购买域名的方法,那么花费将无法接受。例如,最近的Conficker变种每天可以产生多达5万个域名的列表,要想把这些域名都买下来,每年的开销将是一个天文数字。另外捕猎僵尸网络还要考虑到更现实的条件。Vigna说,在他们决定入侵Torpig之前他曾警告说,学校的IT部门可能会在几周内碰到一些不寻常的网络流量。“我们的实验室已经习惯了各种稀奇古怪的网络事件,但我们还是做好了准备,”Vigna说,“我们真的不知道能不能成功入侵,能收集到多少信息,但最终我们做到了,现在看来效果还不错。”【51CTO.com译稿,合作站点转载请注明原文译者和出处为51CTO.com】 原文:Researchers Seize Botnet, Peer Into Net's Dark Side 作者:Alex Goldman

时间: 2014-12-29

5月7日外电头条:发自僵尸网络卧底小组的安全报告的相关文章

6月9日外电头条:为什么1000万$的补丁不如100$的策略

[51CTO快译]如今企业安全的决策似乎更多是靠道听途说而不是根据实际数据,靠条件反射而不是严密的逻辑,最近在纽约举行的Cyber Infrastructure Protection '09 (CIP 09) 大会上,ISCA实验室创始人,Verizon Business的Peter Tippett博士在发言中表示了他的不满."企业安全属于信息科学,而我找不到科学的影子,"他说,"只看到大量的工程."航空安全的发展经验表明,依靠科学可以比工程学得到更多的安全性.与五

3月4日外电头条:10大最新安全威胁预测 云计算成新目标

[51CTO.com快译]新技术的不断推出在大幅提升运算能力,方便人们生活的同时,也不可避免的使网络犯罪分子们有了攻击的新武器.在2009年,黑客们将在云计算和社交网络等 众多领域发起新的攻击.以下是我们列出的十大威胁,请随时保持注意:恶意软件进入2.0时代恶意软件将伴随着Web2.0一同进入2.0时代,它们将越来越多的向Web 2.0服务发起攻击,包括最新的云服务.许多公司 刚刚采用了基于云计算的服务, 例如Amazon Web Services和微软Azure,这已成为黑客和垃圾邮件的新目标

4月3日外电头条:赛门铁克3月安全报告称恶意网站增3倍

[51CTO.com快译]网络罪犯们在三月份显然做了些特别的努力!因为在赛门铁克 刚刚发布的MessageLabs网络安全报告中显示,三月份被阻止的恶意网站数量一下子激增为二月份的三倍.最新发布的MessageLabs Intelligence 2009年三月份及第一季度网络安全报告中披露的具体数据是:三月份赛门铁克平均每天要封锁2797个藏匿着恶意软件和其他如间谍和广告软件等有害程序的新恶意网站,这个数字比二月份增加了197.2%.含有恶意链接的电子邮件比例也增加了,达到了去年6月以来的最高水

5月20日外电头条:系统管理的“洗手间哲学”

[51CTO.com快译]每个管理员都在和废弃的和未使用的用户帐户作战.我们都知道,如果系统中藏有"过期"的用户帐户, 那么就会给恶意黑客留下更多攻击和藏匿的地方.如果你是个聪明人,那就需要提高警惕,并清除掉它们.陈旧的和未使用的资源就像是饭店的洗手间.当你第一次走进一家餐馆时要先检查一下洗手间.如果洗手间超级干净,可以打赌这家餐馆的管理非常良好,厨房也一定是非常干净的.而如果洗手间一团糟,那就考虑去别的地方吧.谁来管理,管理什么管理员应该建立起策略和程序,以生命周期的模式对电脑的所有

2月27日外电头条:网络性能优化的秘诀和误区

[51CTO.com快译]以太网的出现带来了企业网络的普及.现如今,企业网络特性和网络分析工具变得愈来愈 复杂.企业利用互联网传播信息,运营电子商务,在公司网络建设上投入巨大成本,因此,保持网络的正常运行显得极为重要.随着网络使用的增长,出现了大量的网络分析和管理工具.随之而来的是网络管理行业的市场细分,免费的分析软件.企业级网络工具和其他网络工具,都可以在IT经理们的工具箱里找到了自己的位置.然而,如今的企业网络比以往任何时候都更加复杂,网络 数据传输已经出现了 众多方式,包括点对点.VoIP

完美世界发布截至6月30日的2014财年第二季度未经审计财报

摘要: 查看最新行情 北京时间8月19日凌晨消息, 完美世界 今天发布了截至6月30日的2014财年第二季度未经审计财报.报告显示,完美世界第二季度总营收为人民币9.284亿元(约合1.496亿美元),上   查看最新行情 北京时间8月19日凌晨消息, 完美世界 今天发布了截至6月30日的2014财年第二季度未经审计财报.报告显示,完美世界第二季度总营收为人民币9.284亿元(约合1.496亿美元),上一季度为人民币8.911亿元,去年同期为人民币7.001亿元:归属于公司股东的净利润为人民币1

麦考林今天发布截至6月30日的2014财年第二季度未经审计财报

摘要: 查看最新行情 北京时间9月19日早间消息, 麦考林 (Nasdaq: MCOX )今天发布了截至6月30日的2014财年第二季度未经审计财报.报告显示,麦考林第二季度净营收为2180万美元,与去年同期相比   查看最新行情 北京时间9月19日早间消息, 麦考林 (Nasdaq: MCOX )今天发布了截至6月30日的2014财年第二季度未经审计财报.报告显示,麦考林第二季度净营收为2180万美元,与去年同期相比持平:净亏损为1210万美元,与去年同期的净亏损620万美元相比有所扩大. 主

9月23日晚间深市中小板公告一览

证券时报网(www.stcn.com)09月23日讯9月23日晚间深市中小板公告一览:(002608,112108)舜天船舶:召开2013年第二次临时股东大会的通知 金融界盈利宝,活期储蓄利率提升1000% 1.会议召集人:公司董事会2.会议时间:2013年10月10日上午9:30开始,预计会期半天.3.会议地点:江苏省南京市软件大道21号A座4楼会议室4.股权登记日:2013年9月26日5.表决方式:现场书面表决6.登记时间:2013年9月29日9:30-11:30,14:00-17:00.7

9月23日上市公司晚间公告速递

新浪财经讯 9月23日晚间,沪深两市多家上市公司发布了公告.以下是公告摘要: (000016)深康佳A:收到退税事宜 根据财政部.国家税务总局<关于软件产品增值税政策的通知>(财税[2011]100号)及深圳市国家税务局关于发布<深圳市软件产品增值税即征即退管理办法>的公告(深国税公告2011第9号),增值税一般纳税人销售其自行开发生产的软件产品,按17%税率征收增值税后,对其增值税实际税负超过3%的部分实行即征即退返还. 深圳市南山区国家税务局于日前向深康佳A下发了<关于康