什么是木马网络?木马网络也就是说我们平时说的僵尸网络,这样说起来有点恐怖,其实它是指在互联网上已经被植入了一些木马软件,远程控制软件的一些PC,木马软件它主要有下面几个作用:
第一个,在木马植入中它首先会在你的机器上作为一个微型的TCP的代理服务器,也就是说别人可以通过TCP协议对你的PC进行操控,我们经常会收到一些垃圾邮件,里面会连接一些卖壮阳药,或者是卖一些其他的国外的一些产品的网站,其实过了三到四天这些网站就不存在。
另外一个,僵尸网络它同时要承担一个微型的DNS的服务器,也就是说垃圾邮件里面的受益网址,它有一个统一的控制中心,会把那些僵尸网络激活的信息做成一个时实的DNS,所以你每点一个受益网址的域名进去的是不一样的,也就是说其实木马网络提供了在互联网传播信息的一整套东西,从网站的托管,DNS解释,TCP访问,包括最后一点,也就是说升级自身,它同时会对自己进行升级,或改变自己的伪装技术,或者说会利用更多的漏洞传播自己。
从不法网络,大家很多人都会收到英文甚至俄文,甚至阿拉伯文的垃圾邮件,其实这些邮件大部分是从僵尸网络发出,它有什么特点呢?第一个特点,就是受益域名频繁变换。我们按照平常人理解,域名注册是有费用有成本的,所以频繁更换域名应该是一个成本很高的工作,但现在其实域名注册的成本在某些注册局里面非常低,甚至有某些注册局是允许免费注册一些短期的域名,比如一个月是不用钱的,木马要达到目的,只是短期内的传播,短期内的海量传播。
第二个特点,目前所统计的木马发出垃圾邮件是英文和俄文为主,也就是说其实根据国际安全机构发布的数据,大部分木马网络是由俄罗斯人控制的,所以说它既有本土客户,也有国际客户,所以既有英文的垃圾邮件,也有俄文垃圾邮件。当然现在也出现一种现象,也有一些中文的培训类的垃圾邮件是通过国内外的一些木马来进行转发,但是这是一个值得关注的现象。
第三点,由木马发出来垃圾邮件,因为木马选择它的发展点是没有国界的,它是在整个互联网上进行漫游和传播,但是它所发出的垃圾邮件往往是有特定的地区,所以你会经常看到这样一种现象,就是同一个IP发出来的邮件与它本地所常用的字符集是不一致的,比如说从台湾IP地址发出来的,可能会发出来俄文的邮件,这可以认为是木马邮件的其中一个特征。
第四点,木马网络垃圾邮件代表垃圾邮件的最高水平,它在内容方面往往是带有很强的干扰信息,包括文字的变性的干扰和图片的一些雪花干扰,或者切割干扰,另外对它的受益网址变号码会变一些转码,比如说利用搜索引擎,利用博客等等来进行保护,像Google提供了一个免费的黄页服务,就经常被木马网络所利用。
下面来简单分析一下木马网络的成因。
第一,有巨大的商业利益的驱动。
第二,盗版的操作系统也是木马传播的一个比较重要的原因,因为有很多盗版操作系统它可能有意无意的夹带一些木马程序,使得木马的传播更加加剧,所以建议大家尽量使用正版邮件。
第三,有很多家庭电脑它的网络安全措施是不足的,怎么说呢?像我们经常发现有一些在中国的PC机上会发出一些政治敏感邮件,但其实他们是完全不察觉自己电脑被利用的情况下发出了这个邮件,经过我们分析,是因为他使用了一些不安全的路由器,因为有很多人安装路由器的时候是使用了一些默认的设置和默认的账号密码,而木马网络对这一些网络安全的情况非常了解,他就想办法利用这些家庭电脑的漏洞来进行传播。
第四,木马传播有一个很重要的原因,它对使用者的影响不像病毒那么明显,病毒可能会导致你的机器变慢甚至有些文件丢失,甚至整个操作系统崩溃,但木马网络它往往是轻度的使用,所以很多用户是不察觉自己的机器已经在木马网络里面加入了木马网络。
其实对于反垃圾邮件厂家来说,木马网络的防治是非常复杂的过程,很多传统技术失效,而且木马网络有一个很大的特点,就是它有一个无目的性,木马网络的目标就是最大限度的发送,针对这个特点,可以提出一些思路:木马邮件的整个邮件发出格式、模式是在不断变化之中,我们看到确实是会变,尽管带有干扰,木马的垃圾邮件在一定时期内它因为有一个跟母体升级的过程,比如说一个指令要传播到全球300万台机器的话它有一个周期,在这个周期之内它还是有一定的模式,只要是我们发现这个模式的速度能够尽早的话,对木马网络防治还是会有一定的效果,也就是说他做的邮件有点类似我们写文章的章法,就算是一些干扰度非常强的垃圾邮件,它干扰手法本身也是一种模式。当然这里就需要更多的厂家来进行互信的合作,有很多靠单一厂家是没办法完成的。
下面提出一些木马垃圾邮件样本捕捉的策略。
第一,在多域系统部署密罐,呼吁各个企业邮件的服务商可以共享一些蜜罐的资源,因为我们知道木马邮件有很重要的特点,就是无目的性,也就是说它会发给很多域,但我们知道一个IP地址它跟很多域发生关系的话只有两种情况,一种,它是公众的IP,但这些是很容易被验证的,很容易被搜集的,另外一个,就是因为它是木马,它是僵尸网络的机器,它带有很强的无目的性,IP经常被分配到不同的僵尸的PC。
第二,呼吁反病毒公司跟反垃圾邮件公司进行合作,这个对整个互联网的联防是非常重要的。因为其实第一时间爆发是在PC机上,假如能在源头上尽量控制网络的扩展,效果会比事后爆发之后再去防范它,采集它的各种样本,反病毒体系里面也有很多类似邮件蜜罐这样的所谓肉机,它会引诱木马来进行传播,当我们捕捉到一些样本的时候可以从源头上来进行控制。
第三,前面有一段分析国家流量的表格,其实我们看到互联网的发展在全世界是不均衡的,欧美地区非常发达,亚太地区韩国、日本也非常普及,但是东南亚、印度和非洲和中亚地区很多是落后地区,其实从互联网发展程度来说,它们的流量应该跟它们的网民数成正比的,但是我们监控往往会发现一些互联网的后疾病区,比如说印度它的流量会突然变大,这时候相当于向我们敲响警钟,这个地区可能木马网络会开始大面积扩散,也就是说对于这个地区来说,我们需要采取相应的策略,包括流量的,包括对各种检查的严格程度进行监测,包括更主动一些就是跟当地的一些同行,或者管理机构进行协作,把信息提供给他们。
第四,要经常注意一些域名注册机构的信誉,其实大部分木马网络它发出的邮件,最终它是有商业目的在后面的,它一定会有一个受益域名,这个受益域名它的域名要经常变化,他必须要找到一些管理很松散,或者说跟它们有合作的注册局来进行注册,所以我们必须要经常监控这些注册局的信誉,对不同注册局,因为对注册局我觉得是可管理的,可以通过行政或者通过商业的规范进行投诉管理,包括在技术上也可以进行一些注册局信誉的分析,来对这个邮件进行评分。
目前木马传播有一个从母体不断更新客户要发送邮件内容的一个过程,只要能够在这个环节上采取截断甚至干扰的话,其实对整个木马网络商业价值或者它的效率的控制是有很大影响的,只要能够截断这个利益链的话,其实这个网络自然就没人去传播了。
在应用常规的反垃圾邮件技术之前,一定要先排除干扰信息,就是想办法把木马邮件里面的干扰信息排除掉,另外,进行数据挖掘和分析,结合流量控制,目前来说我觉得是一个有效的措施。再次呼吁各个厂家可以进行共享。
虽然说我们有很多技术可以防止木马体系,但是同样面临以下的问题。
第一,我们可能会因为防范木马付出太多的系统资源。
第二,木马的干扰技术也在不断增强。
第三,木马还在不断扩散。
|