从B49到B107:微软打击网络黑客在行动

在微软公司总部有这样一群人他们以前是警察、法官、检察官或是一些顶尖的技术高手他们组成了网络犯罪调查部他们的任务是打击网络黑客。当然他们不是单打独斗微软公司内部还有其他部门配合他们的行动同时也与业界、学术界以及各国政府合作才能够完成这个复杂的过程。

一年前微软通过“B49”行动关闭了Waledac垃圾邮件僵尸网络。最近微软又通过“B107”行动联合多国政府进行的一次黑客围剿。这次行动打击的是全球最大的Rustock垃圾邮件僵尸网络。

歼灭Rustock僵尸网络

僵尸网络被认为是网络罪犯用于攻击网络的常用工具。它利用受感染的个人电脑发送垃圾邮件向网站实施拒绝服务攻击传播恶意代码造成网络广告点击欺诈等等。Rustock正是这样一个网络。

据微软网络犯罪调查部研究显示全球有将近一百万台被Rustock恶意软件感染的个人电脑。这些电脑受到操纵僵尸网络的个人或组织的远程控制而且通常电脑用户并不知道其电脑已经被劫持。僵尸牧人通过多种方式恶意感染电脑比如当用户浏览潜藏恶意代码的网站点击恶意广告或者打开中毒邮件的附件。僵尸牧人通常隐蔽的植入恶意代码以至于用户通常不知道个人电脑已经被感染。

被Rustock恶意软件控制的电脑被称为“肉鸡”。一台受Rustock感染的“肉鸡”在45分钟内可发送7500封垃圾邮件即每天24万封垃圾邮件。通过这个僵尸网络一天可以发送300亿封以上垃圾邮件内容包括虚假抽奖信息以及假冒的甚至是危险的处方药物给公众带来极大的健康危害。

由于垃圾邮件滋生了假冒药品市场辉瑞制药有限公司成为了本案的申诉人之一。辉瑞制药在声明中提供了证据证明由于假冒药品通常在不安全的环境下生产垃圾邮件中所推销的药品通常含有错误的活性成分和剂量有时甚至含有给人体健康带来更大威胁的物质。假冒药品还通常被杀虫剂铅基公路油漆和地板蜡等物质污染。

除了推销危险的甚至违法的产品垃圾邮件更是对健康的互联网环境的极大威胁。虽然Rustock的主要功能是发送垃圾邮件但是如此大规模的僵尸网络可以被用于任何种类的网络犯罪。僵尸网络非常强大通常只需一个指令就可以转变为垃圾邮件程序和拒绝服务攻击程序。

“通过一段时间的监测和追查微软公司在美国向法院提起诉讼案要求法院做出裁决把所有向僵尸网络发送这种命令、控制信息的这个网络服务器都给关闭。”微软大中华区首席法律顾问关挺立告诉记者在美国的服务器关闭了之后微软发现还有一千多个以.CN结尾的域名被内嵌到了恶意代码内部。虽然关闭了在美国的网络服务器但这些.CN域名能够使僵尸网络死灰复燃。微软把所有.CN域名的详细信息交给了中国国家计算机网络应急技术处理协调中心以下简称 CNCERT由他们配合去执行相关的关闭工作。“全球通过Rustock僵尸网络所发出垃圾邮件的数量骤然降低我们认为这个打击工作非常成功。”

只有合作才能实现围剿

“合作是成功的关键。我们深知没有任何一家公司或一个组织能够单独完成这项重任。这需要业界、学术界、执法部门和各国政府的多方合作。”关挺立告诉记者这是微软在打击僵尸网络的过程中所获得的最宝贵的经验在B49和B107行动不仅需要将技术与法律的手段相结合更需要各个机构和政府的配合“我们目前正在与全球的互联网服务商和网络安全应急机构合作以帮助用户清除恶意代码。如果没有公共机构和个人用户的多方合作微软不可能成功的关闭僵尸网络。”

以B107行动为例在关闭Rustock僵尸网络过程中经过微软网络犯罪调查部及合作伙伴进行了一个月的调查然后向美国华盛顿西区地方法院的成功辩护以及联邦法院执行官对多个地点指挥和控制服务器的联合突击。Rustock有更加复杂的结构因为它利用硬编码的网际网络通讯协定而非域名和点对点指挥和控制服务器来控制僵尸网络。为了保证恶意代码不会迅速转移到新的网络基础结构微软获得法院允许与联邦法院执行官合作在现场提取证据并且在某些情况下从互联网托管服务商获取被感染服务器用于分析。其中微软截取了在美国7个城市运营的5个互联网托管服务商的服务器它们分别位于堪萨斯城斯克兰顿丹佛达拉斯芝加哥西雅图和哥伦布市。通过与上游供应商的合作微软最终成功阻断并禁用了控制僵尸网络的IP址。

在关闭中国相关的.CN服务器过程中CNCERT起到了关键作用。谈及这次打击行动中的分工CNCERT运行部主任周勇林在接受中央电视台采访时表示微软分析了僵尸网络的情况把掌握到的僵尸网络用到的域名和控制服务器信息告诉我们然后我们做一个数据基础的核对确认这个情况确实是存在的而且还将是活跃的。核对之后我们负责在中国的工作体系利用我们自己的机制去把在中国用到的域名通过服务器停掉。微软作为一个企业它肯定没有这个职能。他认为微软的长处在于技术这样的公司可以为执法机关提供很有价值的技术信息。

“我们觉得要解决打击黑客的方案应该分为三部分一是IT行业本身应该采取行动就像微软这样的企业应该站出来采取行动。二是政府应该采取行动相关的管理部门、执法部门应该是去追踪锁定要去捕获并且要惩罚这样的电脑数字犯罪人员。三是终端用户本身应该采取一些防范的措施防止自己的利益受到侵害。”关挺立总结到。

《中国经营报》

0顶一下

信息安全理论

策划、部署和实施基于ISO27001信息安全管理体系的基础尽在本视频片断http://www.56.com/u29/v_NTc2OTcwNDI.html

Advertisements

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s