僵尸网络竟也玩“自助”

ZDNet安全频道原创翻译 转载请注明作者以及出处

　　对于一个僵尸网络来说，它的大小真的很重要吗?这取决于你观察的角度。

　　按照“传统的观点”，僵尸网络的效果与其规模相关，理论上大型的网络更容易渗透到企业网络中;但最近发布的一份题目为《我的僵尸不是你的!针对现实世界中600个僵尸网络的研究》的报告展示出一片完全不同的景象。

　　根据Damballa安全公司研究副总裁冈特·奥尔曼的说法，依据他们耗时三个月对全球性企业中600多个不同的僵尸网络的分析研究，自助型小僵尸网络在总体数量中占据了57%，并且，在大多数情况下，都成功地避开了检测：

　　“我们在分析这600个僵尸网络的时间发现，每天活跃的数量在101到500之间。为什么在这里要使用“每天”这一术语”?原因很简单，活跃僵尸成员数量每天都是处于变化中的，这基于下面因素的影响，举例来说，否有主机或企业网络的组成部分(如笔记本计算机)被感染，是否有僵尸被发现并清除，僵尸网络的控制者是否正在进行远程交互操作。

　　尽管人们更关注互联网上最大僵尸网络的活动情况，但看起来似乎小僵尸网络不仅在现实生活中的企业环境反而是普遍存在，而且正在进行不同的事情。并且，在大多数情况下，那些“不同的事情”更具危险性，因为它们针对的是更具体的企业环境中的操作。”

　　通过僵尸网络进行商业间谍活动并不是一个新概念。事实上，在几年前对公司网络进行有针对性的自动攻击已经是成功的方法。

　　举例来说，在2007年，来自Support　Intelligence的研究人员就发起过一个叫做“30天僵尸”的活动，以提醒财富1000强公司关注受到恶意软件感染的主机，通过其网络发送垃圾邮件的情况。他们的积极工作收到了很好的效果，下面的名单就是被发现拥有被感染主机的公司：

　　Ø 3M公司;汤姆森金融;美国国际集团;国家庭人寿保险公司;商业周刊;东芝美国商务解决方案事业部;康塞科保险公司;美国证券银行;美国清晰频道通信公司;国界集团;Affiliated计算机服务;全美互惠保险公司;联美航空;英特尔和印地麦克银行

　　来自Support　Intelligence的研究人员做的，就是网络犯罪分子一直在研究并作为服务提供的——数据挖掘，从他们的角度来看，对一个大型僵尸网络的数据进行处理并连接位于特定网络中的主机是为发送垃圾邮件准备的，而不适合用来进行商业间谍活动。

　　这就是为什么小型僵尸网络是网络间谍喜欢的对象，这些网络的规模不适用作为发送数以亿计的垃圾邮件、网络钓鱼工具和恶意软件的网络犯罪平台，而更象是新兴的“市场参与者”。

　　根据MessageLabs最新发布的8月份情况报告，Grum和Bobax僵尸网络已经超过了Cutwail/Pushdo而取得了领先地位，分别占据了当前发送的垃圾邮件中的23.2%和15.7%，Grum僵尸网络的成员数量已经到了56万到84万之间，而紧随其后的Bobax僵尸网络成员数量已经达到了8万到12万之间。