年底回顾与展望 ：2010＝云僵尸年？

　　2009年是重要恶意软件和在线恶意行为年份，原因很多，而其中数个都和Botnet僵尸/傀儡网络有关。一个僵尸，或一个宿主，指的是受恶意软件感染而遭犯罪份子从远端操控的个人电脑。当犯罪份子控制网络时，受操控的感染电脑从上万到上千万台不等，犯罪份子们使用这些电脑来增强现今常见的网络犯罪功能，如垃圾邮件的散发，服务阻断式攻击(DDoS：Distributed Denial of Services)，恐吓软件(scareware)，网络钓鱼，及恶意或非法的主机网站等，染指了所有网络犯罪这块蛋糕上所有的项目。

　　前半年度，Conficker 破坏程序(又称Downadup或 Kido)占据了恶意软件世界所有的头条篇幅。最后Conficker僵尸网络被发现是在进行标准的网络犯罪内容，如利用宿主散发垃圾邮件及伪造的假防毒软件(或恐吓软件)。 报导此攻击爆发的热潮与退烧同样迅速，但可别以为这个威胁就这样消失无踪了。由安全软件供应商，研究人员和其它商业机构所组成的联盟团队，Conficker工作小组(Conficker Working Group)目前正在展示(currently showing)将近6百万个特殊的IP，这些IP显然都已遭此恶意软件所感染。

　　2009年度与僵尸软件无关但却相当重要的风潮是社交网络被恶意滥用的激增。在如Facebook，Twitter和MySpace等社交网站上活跃的庞大使用者人口数量，为在线组织型犯罪提供了丰渥的动机，进行宿主徵募及伪造防毒软件诈骗。Facebook就曾遭流氓自动程序滥用(abused by rogue Apps)，诱骗使用者点击与广告网络结盟的联结，让制作联结者因每一次的点击而获利。Facebook也曾被用来以许多不同方式散发恶意软件，如张贴在涂鸦墙与讯息中的恶意连结，特别设计用来入侵帐户(hijack accounts)的恶意软件，和从外部破坏入侵(external compromise )合法的Facebook脸书自动程序。

　　Koobface家族的恶意软件(也是僵尸网络)在2009年间进化。刚开始时是利用恶意讯息和墙面张贴方式夹带伪造YouTube联结，假称需要特别的解码器才能观看影片。所谓的解码器当然是子虚乌有，只会造成帐户的受骇和感染。不过Koobface现在已进化到可以自行制作伪造的Facebook脸书个人文件页面(capable of creating its own fake Facebook profile)，并加入认证用的Gmail邮件帐号，个人照片及自传等资料让文件看来更加逼真。这个假的帐户接着便会去加入其他网络并送出交友要求，而所有这些动作皆是自动化进行的。

　　接下来就是开始好玩的地方了。除了散发垃圾邮件和恶意软件，web 2.0网站在2009年间曾被以令人担忧的新方式进行滥用。Twitter和Google Reader皆曾被用在垃圾邮件散发攻击中做为登陆页面(used as the landing page)，企图以此回避电子邮件的URL筛选。最近几个月来，Twitter，Facebook，Pastebin，Google Groups，和Google AppEngine皆曾被运用做为僵尸网络的代理操控中心服务主机;上周更有报导(it was reported)指出Zeus僵尸网络入侵破坏Amazon亚马逊”云”操控EC2的服务。这些公众论坛被设定来发布混码指令，以便对全球散播僵尸网络。这些指令通常包含更进一步的URL，让宿主可接触来下载指令或元件。

　　这些网站和服务的吸引力，来自于其提供了公开化，可提升，易取得且无需具名的方式以维护操控基础架构，这些特色同时也更进一步降低了被传统技术侦测出的机会。尽管网络内容的检测解决方案可轻易地在当受入侵的端点与已知不良网站(操控服务)，或和可疑及有害的通路如IRC，沟通之际侦测出问题;个人电脑透过port 80向Facebook脸书，Google，或Twitter等服务供应者提出标准的HTTP GET要求，甚至于1天多次，就过去安全纪录来看皆可认定是完全正常的控制。然而当僵尸网络操控者和犯罪集团企图让他们的操控基础架构消声匿迹，混入网际网络中寻常的白噪音中时，就不是这麽一回事了。

　　2009年多数的创作皆环绕在僵尸网络的操控系统，这件事并不是个巧合。旧式IRC操控的僵尸网络绝大部份都在24小时内关闭，点对点的宿主通常会留下清楚可见的特征，造成电脑端的歼灭。我认为网络犯罪份子正在评估Web 2.0僵尸网络的一项操控因素，即如果仰赖单一供应者如Facebook或Google，当恶意Facebook脸书网页被关闭后，整个僵尸网络也就被瘫痪掉了。僵尸网络制作者投资了大量的时间和程序，来散布他们所管理的使用了即融(fast-flux)或点对点(peer-to-peer)协定的基础架构。因为我们将会看到他们将教训运用到更新的““云”操控”僵尸网络中。最新的Koobface变化版极有可能具备了多重自动化成型的个人文件的能力，用来减缓因使用在单一供应者如Facebook或Twitter之个人文件做为掩护，由于单点失败所形成的效应。

　　每当谈到僵尸网络，都很希望能讲出像“情况愈来愈有改善”的话。但事与愿违。愈来愈多的电脑皆受到感染，而被感染的时间也愈来愈长了(More and more computers are being infected, and they are staying infected for longer.)。(tyrael)