Srizbi僵尸网络:McColo关闭后死灰复燃

ZDNet安全频道原创翻译 转载请注明作者以及出处

在McColo关停后， Srizbi僵尸网络(主要的垃圾邮件发源地之一)也立即沉寂了下来，但是这种沉默没有持续多久。垃圾邮件最终还是卷土重来了。没有了命令与控制服务器，这些僵尸网络是怎么死灰复燃的呢?本文将揭秘其中的原因。
--------------------------------------------------------------------------------------------

　　在我上次的文章“僵尸网络：托管主机关停降低50%垃圾邮件”中曾经提到，安全专家们几乎都明白McColo服务器上的僵尸网络服务器以及垃圾邮件都将最终死灰复燃。作为参考，下面这个图表(来自SpamCop)显示了McColo 关停后的垃圾邮件数量：

　　上面我提到，专家们曾经预言 Srizbi 将卷土重来。不过人们认为这还需要一段时间。因为一个全新的僵尸网络需要使用包含访问命令和控制服务器信息的僵尸代码。实施并非如此，原先的Srizbi僵尸网络在McColo关停两周后就死灰复燃了。

　　这怎么可能?

　　僵尸网络研究人员一开始不理解为什么游离的僵尸电脑能够重新找到新的命令和控制服务器。分析人员甚至推测，这是僵尸网络建造者最初都没有想到的功能，正如FireEye 的Julie Wolf 所说：

　　“这些备份的DNS名称还没有注册，这使得人们不得不问：谁在僵尸电脑中植入了备份DNS名称但是有没有成功注册这些名字?” 本人推测，这可能是僵尸代码编写者所使用的某个代码片段，有可能连僵尸代码编写者都没有完全改写甚至阅读过该段代码”

　　这样一来，我们就知道了这种现象的答案，起码对于Srizbi 僵尸网络是这样的。这令我不得不赞叹僵尸网络的顽强生存能力。

　　原来如此

　　FireEye Malware Intelligence Lab 的工作人员从一开始就注意到这种情况。Atif Mushtaq 和 Alex Lanstein 在 FireEye 的博客上撰文 “Srizbi Control Regained by Original Owner” ，对于僵尸电脑是如何重新找到新的命令和控制服务器进行了深入分析：

　　“Srizbi拥有动态创建C&C(命令和控制服务器)的机制。 这个动态DNS生成机制是僵尸网络得以恢复的主要原因，即使在McColo托管的主服务器IP仍然被封锁的情况下依然能实现原有功能。而僵尸网络的所有者开始集中注册域名，因为他也不知道动态创建的域名会在哪天被使用。”

　　Julia Wolf 还在他的博客中详细介绍了这种命名过程“Srizbi的域名生成算法技术细节” 。阅读时别忘了阅读评论部分，有助于更好的理解这一机制。

　　太惊讶了

　　可以说开发Srizbi的人具有超人的远见，已经事先考虑到命令和控制服务器可能被移动的情况，并开发了相应的代码作为应对策略。这段代码的作用就是让与服务器失去联系的僵尸电脑周期性的生成新的域名并尝试连接这些域名。代码编写者也可以决定僵尸电脑可以尝试连接哪些域名。 接下来要做的就是域名注册，建立使用这些域名的命令和控制服务器，并且恢复僵尸电脑与命令和控制服务器之间的通信联系。

　　其中有些域名已经注册完毕并且用来恢复Srizbi 僵尸网络的命令和控制服务器功能了，这些域名包括：

　　· gffsfpey.com

　　· ypouaypu.com

　　· oryitugf.com

　　Wolf在文章中表示，这些已经被创建并使用的域名来自于自动化的创建机制。这种机制采用日历事件散列的算法，最终拿出8个字符作为域名。Wolf 进一步解释了初期的功能调用过程：

　　“首先调用KeQuerySystemTime函数然后调用 RtlTimeToTimeFields函数获取当前年份，月份以及日期。这一过程被重复四次，所得数据进一步进行多种方式的处理。比如超过了12个月，那么商会转换为年数，跨年计算，以及其它多种转换方式。最后返回的日期被四舍五入为最接近的日期的第三天。”

　　需要一个ISP

　　为了让僵尸网络重回管理者手中，僵尸网络的管理者需要一个类似于以前Mccolo的托管商角色。也许你会问，为什么要这么麻烦，为什么僵尸网络的拥有者不自己建立一个命令和控制服务器?很简单，如果他们自己建立服务器，那么毫无疑问就会提早“退休”，而使用租用的服务器可以让他们尽量的保持匿名状态。

　　FireEye的功劳

　　如果没有FireEye ，Srizbi僵尸网络可能会提前更多时间回到互联网上。 Wolf对Srizbi僵尸代码进行了逆向工程，从而使得 FireEye 有能力判断新域名的命名顺序。在此之后FireEye 为了防止Srizbi 的管理者注册域名，而抢注了数百个域名。然而经费问题使得FireEye 不得不停止了域名抢注。 因此最终Srizbi 僵尸网络的拥有者成功注册了域名使得Srizbi死灰复燃。

　　下图(来自SpamCop)显示了过去数周的垃圾邮件数量。虽然仍然比McColo关停前要少，但是每秒的垃圾邮件数量在47周有了明显增长。这正是Srizbi的拥有者成功注册了域名后的一段时间。

　　谁在托管命令和控制服务器?

　　据传Starline Web Services 是在47周托管命令和控制服务器的互联网服务提供商。ComputerWorld 的Jeremy Kirk 在文章 “Estonian ISP Cuts Off Control Servers for Srizbi Botnet”中介绍了Starline Web Services 被关停的细节。

　　到12月初SpamCop的监测图表仍然没有明显的数量下降，如下图所示：

　　这一现象主要是由于 Rustock僵尸网络重新启动所致，这一僵尸网络的命令和控制服务器最初也是由McColo托管。Rustock僵尸网络的拥有者找到了一个瑞典ISP，这个ISP也曾经为McColo提供过互联网接入服务。Rustock的主人在最短时间内将新的僵尸代码发放给了僵尸网络中的电脑，将新的命令和控制服务器连接指向了位于俄罗斯的服务器。很明显 Rustock的僵尸代码并没有Srizbi那种自动域名重命名机制。

　　最后的思考

　　在感到沮丧的同时，我也在为僵尸代码开发者所拥有的智慧和预见力感到惊奇。专家们告诉我目前这种状况都是可以解决的，对此我并不怀疑，我只是担心费用问题。