RSA2013:现场摧毁P2P僵尸网络sinkholing

据来自旧金山的2013 RSA信息安全大会的消息，虽然联合执法摧毁僵尸网络已经司空见惯，可能甚至还有点儿没劲，但在上周， 参加2013 RSA信息安全大会的安全专家，却看到了僵尸网络在现场被实时摧毁，这着实振奋人心。

Tillmann Werner是信息安全防御公司CrowdStrike的高级安全研究员，他现场实况演示了控制P2P僵尸网络的过程，令与会者惊讶不已。当Werner开始展示一些多数观众都无法破译的简短代码时，这次展示的高潮部分开始了。Werner把展示切换到一张世界地图，形象地展示了他与每一台被感染机器的通信。在展示过程中，一个红点变成五个，然后很快变成二十个。观众们鼓掌喝彩。

根据Drone Butcher的行动手册：控制P2P僵尸网络的现场演示，Werner展示了他利用sinkholing技术攻击Kelihos僵尸网络操作幕后的许多技术。实际上，可破译的shinkhole替换了僵尸网络命令中心与受其感染机器之间的通信。由于Kelihos僵尸网络的P2P性质，这个本身已经非常复杂的任务就更加困难。

Werner说，我们认为这个僵尸网络很有挑战性，因为它是P2P的。对付sinkholing就困难得多，因为没有中央服务器。Werner首先演示了以前的Kelihos版本以及在每个版本被控制之后发生的事情。在kelihos A感染了5万台机器后，在2011年9月得到遏制。Kelihos B在大约三周后运行，在它感染了大约十二万台机器后，于2012年2月也最终被控制。

Werner展示中被摧毁的Kelihos 版本是Kelihos C，在前一个版本被拿下后，居然活跃了还不到20分钟。Werner估计，在被2012年5月的一个有稍许变化的版本替换之前，Kelihos C已经感染了大约四万台机器。

一位与会者问，为什么Kelihos每个版本出现得如此之快。Werner回答说，“他们从其它犯罪组织购买安装，这当然会很快了。”对执法部门和反僵尸网络的相关人员来说，虽然新生活中这种不断重复的反复可能令人泄气，但Werner说每一次击垮僵尸网络仍然会给犯罪组织带来经济损失。他们通过一次一次地改造自己的僵尸网络，可以做同样的事情。但在他们每次做这些事情时，必须花费更多的钱。

但对一个僵尸网络打击成功，也不能宣告胜利。恰恰相反，必须准备好基础架构，以应对报复性反击。Werner说，“你在消灭一种商业交易，而这些人不喜欢你这样做。”

即使技术能力和人力可进行这种操作，能否确保这种打击合法还是问题。Werner所演示的攻击要与许多不同的执法部门和政府机构等协作，其中包括FBI。此外，他告诉与会观众，进行这种操作需要一种规避风险的方法，这意味着在作出任何举动之前需要咨询大量的法律顾问。Werner 说，“我的意思是，这种操作是否合法，并不是我决定的。我会推测这样做仍是合法的，但我们也可能置身于困难。”

作为攻击之后的清理工作，互联网服务供应商和CERT要相互联系，从而有助于对付残余的受感染机器。微软还会提供检测功能作为它反病毒套件的一部分，在摧毁Kelihos B僵尸网络的案例中，同样的措施仅仅减少了50%的感染机器。Werner说：“我们希望这次会更成功，可以极大地减少感染数量，从而摧毁sinkhole。”

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友