网路资讯/网路犯罪时代 了解僵尸网路运作
作/刘乙
尽管大多数的人并不全然了解僵尸网路(Botnet),但这个名词近年来却不断地出现,甚至在全球造成重大损失。
通常Botnet指的是一群遭到恶意软体感染的电脑,并因此被远端的主机所操控,用来执行一些不当的网路活动。
一旦遭到感染,电脑就变成没有意识的僵尸,只能听从主人的吩咐。
目前每天有数以千计这样的僵尸网路在运作,每台遭感染的电脑都在受害者不知情的状况下,为主人执行各种非法活动。
过去几年来,著名的Botnet包括:
2005年的Torpig,它当时被认为是有史以来最先进的犯罪软体,专门用来窃取网路银行和信用卡的资料。
2006年的Virut,当时可能感染高达50万台电脑,几乎可以用来做任何事情,例如分散式阻断攻击(DDoS)、发送垃圾邮件、金融诈骗和资料窃取等等。
另外还有2007年发现的Zeus,它能暗中监控受害者的电脑,伺机盗取银行帐号。
其它知名的Conficker、Grum、Lethic和Mariposa;2009年的SpyEye;2010年的Waledac;2011年的ZeroAccess,以及2012年的Smoke。
Botnet如何运作
僵尸网路运作的第1步,是利用各种不同的僵尸病毒(bot),来让许多电脑遭受感染。一般常见的有3种方法:下载、电子邮件和盗版软体。
第1种借由下载的方法,通常是因为使用者在电脑未更新或未安装防毒软体的情况下,不小心造访了暗藏病毒的恶意网站,因而下载了bot,成为僵尸网路的一员。
第2种方法是透过电子邮件,尽管看似非常传统,但却是最常见且最有效的。
因为病毒邮件时常来自于认识的熟人,使用者会因信任而失去戒心,当然,寄发病毒邮件的电脑,大多也已经中了毒。
第3种则是利用盗版软体,恶意软体的设计者,经常会用各种方式把恶意程式码夹藏在下载的盗版软体中,一旦使用者开启执行档,它们就会偷偷地自动执行。
一旦bot成功安装后,便代表电脑已遭感染。通常这些恶意软体会安装一个所谓的后门(backdoor),即一个能让bot幕后操控者可以用来通讯、控管,并进一步安装其它软体的程式。这时,就算受害者再安装最新的防毒软体,也很难关闭和封锁这个后门程式。
bot成功自我安装之后,通常会试着与它的操控者连系、报到。遭感染的电脑会发送大量的资讯给操控者,包括遭感染电脑的IP位址(协助操控者了解遭感染者的所在位置)、电脑登入名称、作业系统、已安装哪些更新程式,以及其它更多的资讯。
恶意软体bot和操控者连系上之后,会暗中执行许多活动。操控者可以发布新版的软体更新来安装执行,也可要求bot留意使用者登入网路银行的程序。整个Botnet也会执行其它命令,例如:记录线上活动、发送垃圾邮件、参与阻断式攻击,以及在受害者系统上再安装其它的恶意软体。
事实上,目前僵尸网路拥有者彼此之间的竞争也很激烈,甚至会撰写程式来搜寻遭感染的电脑,查看是否也被其它的僵尸网路所控制。一旦发现之后,会将其它的恶意软体移除,让该电脑只受控于自己的僵尸网路。
如何判断电脑已受感染
并没有一个简单的方法可以判断电脑是否遭到感染,不过通常遭到感染的电脑会有以下的症状:
1.系统比从前跑得更慢。
6.从网路下载的某个程式图示,突然消失不见。
8.网路银行突然询问以前从不需要的个人资料。
当电脑时常出现以上症状,而且符合的症状越多,感染病毒的可能性也就越大。
当电脑遭到感染,便表示系统已被控制成为僵尸网路的一员,并且偷偷地在执行其它的工作。网路罪犯常利用僵尸网路来获利,方法包括DDoS、垃圾邮件、金融诈欺、SEO下毒、点击诈欺、商业间谍,甚至是用来挖矿比特币(Bitcoin)等等。