中国网河北专稿
中国网和谐河北专题报道
中国网-强省论坛
Storm僵尸网络:网络钓鱼攻击变新花样
中国网和谐河北 2008-03-13 14:18:05 来源:IT168.com
编者按:2008年1月初,RSA反网络欺诈指挥中心检测到几起依靠Storm 僵尸网络作为代理的钓鱼式攻击。攻击事件针对英国的主要银行。攻击事件是基于代理进行的——袭击的受害者与代理服务器进行通信,而该代理服务器提供了来自“母舰”的网络钓鱼内容。此外,袭击者将Storm 僵尸网络用作快速通量网络(fast-flux network)。受害者所访问的代理服务器的IP地址频繁得进行轮换。网页仿冒域名将每次对它的访问尝试转变成一个不同的IP地址。钓鱼式攻击的发动者所使用的代理服务器的IP地址“池”相对比较大。
Storm 僵尸网络攻击中的名称服务器在域中进行了注册,而不是“外部的”。举例来说,如钓鱼网站被托管在www.stormphish.com/ ,那么这个域的名称服务器就是ns1.stormphish.com 。这种结构可以阻止进行向下(take down)服务,以免予去验证在同一网络代理上的其它域(不同于其他钓鱼/恶意托管网络,它们可能追踪其它的域)。
Storm 僵尸网络攻击
在所有攻击中所使用的域名(a)都是相当的可靠,并且(b)制定成相同的形式以对各种银行发动攻击。对两个金融机构实施攻击的域名十分相似,这清楚地表明在这些攻击的背后,隐藏着某个集团。
在浏览器中直接键入IP地址来访问代理服务器,将会产生一个指向Storm 僵尸网络网络感染主机的签名。这个签名是该僵尸网络中许多计算机众所周知的签名,它最近用来利用恶意软件来感染用户。这有助于我们确定所实施的攻击的确是Storm 僵尸网络攻击。屏幕上的画面显示了这些IP地址被访问时会出现的页面。
目前为止,Storm 僵尸网络尚未与任何已知的钓鱼式攻击联系在一起。它一直在稳步地增长,积累了越来越多的受感染主机,但没有任何显示其功能的明确迹象。激活的时候,这个僵尸网络通常与垃圾邮件活动,DDoS攻击,或简单的BOT感染联系在一起。同样它也会长期的“休眠”。这是钓鱼式攻击第一次明确的涉及到——并且托管在——Storm 僵尸网络的计算机中。
这些袭击事件表明,Storm 僵尸网络网络有可能壮大规模,并成为一个威胁性比现在更大的网络钓鱼攻击。在最坏的情况下,Storm 僵尸网络有可能成为快速通量(fast-flux)钓鱼式攻击新热潮的基础架构。该僵尸网络被完善的搭建起来并对它进行良好的管理,现在取决于其所有者的是,想利用它进行广泛的钓鱼攻击活动,还是恶意程序攻击活动,或把它作其他用途。将它用作快速通量(fast-flux)钓鱼网络的潜力仅仅由最近的这些攻击进行了展示。而这很可能就是这些攻击的目标所在。
谁是攻击的幕后黑手?
很难分辨谁是这些最新钓鱼式攻击的幕后黑手。这些攻击可能已经由Storm 僵尸网络的所有者发起,不管他们究竟是谁(他们未必是某个单一的一群罪犯)。攻击还有可能由那些租用Storm服务的犯罪分子发起。在过去我们已经看到了用以出租的快速通量托管网络,而这可能是另一个此类网络。很可能Storm 僵尸网络仅仅作为一种“防弹”托管服务提供给犯罪分子。
怎么解决这些攻击?
RSA反网络欺诈指挥中心(AFCC)在检测和关闭基于代理的钓鱼式攻击和快速通量(fast flux)攻击方面具有丰富的经验。它在抗击诸如Rock phishing攻击等威胁中已证明了其出众的能力。正如在其他快速通量钓鱼式攻击中一样,AFCC的努力都致力于清除恶意域,而不是封杀用以托管钓鱼式攻击的IP地址。通常会在此类情况下开展的另一个方向,就是追查攻击的“母舰”内容服务器。
趋势分析
托管在美国的攻击百分比继续保持着变化,在12月的下降后本月出现了上升。但是,美国仍然占据了相当大的一部分-59%。与2007年的多数月份中一样,中国香港地区 – 9%仍然保持在前3位。在12月中托管了大量Rock域的菲律宾,本月并未出现在名单中。英国,法国,德国和韩国的依然出现在名单中,他们各自的钓鱼攻击托管比例保持着恒定。(it168.com,全原创专业it导购网站)
加入收藏:  责任编辑:chengli 文章作者:Neting 来源:IT168.com | ||
|
最新新闻
图片新闻
版权声明
版权声明:除部分特别声明不要转载,或者授权我站独家播发的文章外,大家可以自由转载我站点的原创文章,但原作者和来自我站的链接必须保留(非我站原创的,按照原来自一节,自行链接)。文章版权归我站和作者共有.本站部分资料来源于网络,如侵犯您的版权请与我们联系,我们将在第一时间内删除! 转载要求:转载之图片、文件,链接请不要盗链到本站,且不准打上各自站点的水印,亦不能抹去我站点水印。