MySpace蠕虫病毒利用Fast-Flux躲避检测

六月份一种复杂的攻击形式被发现了，该攻击是Fast-Flux的一个典型特例，其将MySpace.com的用户个人网站变成钓鱼、欺骗、病毒网络。安全专家称Fast-Flux是一种新兴的隐藏钓鱼网站和恶意软件网站的方法，其将自己隐藏在代理服务器后面，使自身无法被跟踪。

六月份下旬，一些MySpace用户网页中了一种利用最近刚刚公布的三个Windows和IE漏洞进行攻击的恶意软件，该恶意代码诱骗用户在一个伪装的MySpace登录页面上登录，以此来获取访问者的MySpace凭证。一旦获取了用户的登录凭证，攻击者就会把用户的个人主页更新为含有恶意代码的网页。ScanSafe预测大概有10万MySpace账户被攻陷了。

MySpace僵尸网络攻击典型地反映了僵尸攻击架构发展过程中的一大跨越。以前的僵尸网络大都由多台受控计算机计算机组成，由一台主控计算机发号施令到被控计算机进行攻击。这些典型的僵尸网络依然很流行，但是专家称这种僵尸网络通常利用恶意软件或IRC进行连接通讯，一旦被安全专家和执法部门跟踪就可以记录在案，并可以相对直接地将其关闭。

而Fast-Flux网络利用了一种新的思想，现在，被攻陷的计算机仅仅被用来当作前线的代理，而真正发号施令的主控计算机确藏在代理的后面。安全专家只能跟踪到被攻陷代理主机的IP地址，真正窃取数据的计算机在其他地方。代理主机没有日志、没有相关数据、没有文档记录可以显示攻击者的任何信息。

最为精巧的地方在域名服务这部分，一些公司为了负载平衡和适应性，会动态地改变域名所对应的IP地址，攻击者借用该技术，也会动态地修改Fast-Flux网络的IP地址。根据加利福尼亚San Mateo的ScanSafe公司产品事业部的副总裁Dan Nadir说，这种技术就使跟踪、查找僵尸网络的主控计算机变得几乎不可能。Dan Nadir说：“坏孩子会为badguy.com注册一个动态修改的IP地址，查询1000次会得到1000个IP地址，并且之间没有对应关系，地址也不停地变换。”。而真正窃取数据的计算机确藏在代理服务器后面，Fast-Flux网络一般有成千上万的前线代理服务器，分布在世界各地。

目前据安全专家所知，主控计算机从利用IRC变成了利用Fast-Flux的纯HTTP技术。受害者点击欺骗链接，该链接实际上指向攻击者指定的地方，在点击的那一刻，受害者的PC就直接与此建立了连接，该连接能够显示前线代理服务器的IP地址，而实际上连接的是该IP地址后面的一台计算机。该过程如大多数恶意软件一样，完全是后台进行的，受害者所能看到的，就是一个伪装的MySpace页面。Nadir称这比传统的使用IRC的方法更困难一些。但对于攻击者来说，最大的优势是这为攻击者铸造了一道多层次自适应的屏障，以防止被跟踪。Nadir说：“在传统僵尸攻击中，一旦找到了共计IP地址，将其关闭就可以了，只要能够找到IP，就是可以解决的。现在不行了，找到的IP地址可能不停变换，同时，甚至域名服务给出的也是不停变换的IP地址。点击一个指向MySpace的连接，而访问的却是fakemyspace.com。DNS服务就是这样，它会把对应的地址返回给你，即使它是通过Fast-Flux改变的。域名指向的地址改变了，访问的地方当然也就改变了”。MySpace攻击仍在继续，Scansafe将会继续关注。

Nadir说，如何阻止该攻击还是一个问题，ScanSafe建议查找恶意代码的特征，并建立IP地址所对应的地理位置、URL等域名信息。MySpace这种Fast-Flux攻击是隐姓埋名的，没有静态IP地址，没有地理位置，在被跟踪之前相关信息会经常变化。ScanSafe发现了一种阻止方法，通过查询与终端个人空间对应的DNS和80端口流量来判断是否经常有非邻居关系的DNS请求。Nadir说：“当发现有DNS请求发往Comcast或DNS account，那么这就是可疑的，域名服务和DNS服务器通常在用户本地。”当然对于终端用户来说，问题是如何才能发现系统遭受了这种类型的攻击呢。各个安全厂商反映各不相同，但迟早会找到该攻击的特征。再加上ScanSafe的检测建议，真正的幕后黑手不久就会被发现的。Nadir如是说。

无论怎么说，June MySpace fast-flux攻击都不应该造成这么大影响，MySpace作为恶意软件的大众传播途径已经有一段时间了，回忆一下2005年，一个MySpace用户创建一个蠕虫病毒，名为MySpace.A，该病毒搜集了上亿的用户联系列表记录，该病毒最后被Panda软件公司发现。这还只是开始，2006年末又发生了一起严重的MySpace感染，这一次，所有访问感染个人页面的计算机都受到了感染。同时，MySpace广告病毒利用Windows图元文件漏洞感染了上百万台计算机。在这起事件当中，发现在MySpace的页面中被嵌入了Java脚本，当用户访问该页面时，被重定向到了一个因为911而谴责美国政府的网页。之后又发生了很多以MySpace为媒介的攻击，2006年发生的QuickTime病毒窃取了大量用户ID。该病毒利用MySpace的漏洞向QuickTime注入Java代码，把用户引诱到钓鱼网页。该攻击将MySpace的个人信息页面上的链接修改为指向恶意网站的链接，这很有隐蔽性。

据Google反钓鱼工作小组的Colin Whittaker说，Google这个搜索巨人的记录信息显示，三月中旬针对MySpace的钓鱼网页增加了5成，实际上，95%的钓鱼流量都是针对MySpace的。Whittaker说，已经不是因为MySpace自身有什么价值，而是因为MySpace可以被用来进行僵尸攻击、传播病毒、盗取账户资料才受到这么大关注。