揭密僵尸网络难被发现的四大原因

　　僵尸网络已经长期使用不同的配置，看看一个僵尸网络，其一部分是为了掩盖其控制机制。但是，随着用户友好但不安全的应用程序-特别是社会化网络程序所使用的非技术继续存在，黑客有了越来越多的安全漏洞可以选择。根据监测到僵尸网络者最近活动的“僵尸猎人”的说法，在建立弹性架构方面，僵尸网络者也变得更为聪明了。

　　与僵尸网络的斗争越来越难的四大原因及处理方法如下：

　　1 、在雷达下操作

　　虽然最近大多数的关注一直是与Conficker病毒有关的僵尸网络的活动有关，(见Conficker组：蜗杆460万强)，研究人员说，一些最大的僵尸网络已经基本上逃脱媒体的注意，就是为什么僵尸网络受到不法分子的青睐。

　　FireEye公司是一家设在旧金山海湾地区安全生产厂商，FireEye公司高级安全研究人员Alex Lanstein说他们的老板不想制造新闻让人们知道他们的电脑受到感染。他说， 以Cimbot为例，Cimbot是一种已被用来建立一个僵尸网络的恶意程式，现今百分之十五左右的世界垃圾邮件因其而产生。

　　Paul Royal是总部设在亚特兰大的安全生产厂商Purewire公司的首席研究员，他已经发现其他一些僵尸网络者在雷达下操作的例子。在一项实验中，他参加了ZeroPack项目，他发现自动混淆技术允许不法分子从事这种活动，例如服务器端多态现象。因为恶意软件形式经常变换，传统的防病毒软件在与相应的AV信号同步方面已经有些落后，Waledac僵尸网络已经相当于成功的使用了这种方法。

　　Paul Royal同时指出，黑客正在抛弃集中性指挥和控制僵尸网络的结构，取而代之的是更多的点对点架构。这真是不幸，因为对于更集中的结构，安全研究人员至少有一个大的目标瞄准。他认为P2P技术意味着有更多更小更难瞄准的目标。

　　Royal 说“ Conficker.C Storm”和“Waledec”都是从集中性架构转向建立在点对点基础上的架构。”

　　2 、恶意软件能够保护自己

　　密码研究院院长及首席科学家Paul Kocher说，安全研究人员在试图跟踪并关闭僵尸网络过程中所遇到的问题之一就是，用来构建僵尸网络的新型病毒正在使用强大的加密技术来保护指挥控制中心，

　　他说，“在过去，你可以跟踪追查到某个僵尸网络是如何得到它的命令和发出伪造指令、然后将其除掉，但现在要做到这点已经难得多了。 ”

　　新型的僵尸网络也比以住更善长于摧毁一台机器的安全制控。

　　Kocher说，“我们还可以看到僵尸网络建设‘蠕虫’比以往更狡猾地尽力逃避侦查，” ，“他们更为多态性，从一种拷贝复制到另一种拷贝复制，对反病毒人员来说制作一个签名来阻止它变得越来越难了。 ”

　　3 、热门应用软件超越了IT控制

　　研究人员继续发现，对于僵尸牧人来说阻力最小的途径是人们在公司电脑上所使用的、在IT控制范围之外的各种各样的应用软件，他们利用这些自由穿梭于各种各样的敏感数据，包括医疗记录，财务数据等。

　　安全厂商Palo Alto网络最近发布了2009年春季应用软件的使用情况和风险评估报告，该报告回顾了该公司应用软件在60多个大型机构的使用情况，包括金融服务业，制造业，医疗保健，政府部门，零售和教育部门等。该项评估在2008年8月至12月间进行，涉及到近九十万用户的电脑行为。

　　调查结果显示：494项应用软件中有超过一半的(百分之五十七)可以绕过安全的基础设施-使用端口80或端口443，从一个端口跳以另一个端口，。这些应用软件中的一些例子包括微软的SharePoint 、微软的Groove及其一系列软件更新服务，此外还有Pandora and Yoics之类的最终用户的应用。

　　总的来说，报告说，企业每年投入超过60亿美元于防火墙， IPS和代理和URL过滤产品。所有这些产品要求进行一定程度的应用控制。分析表明， 100 %的组织已经装有防火墙，87%的组织也有一个或多个这样的防火墙助手(一个代理服务器，一个IPS和URL过滤系统) ，但这些很难真正控制网络间对这些应用程序的入侵。

　　因此，恶意软件的推动者们有了一个相对宽松的时间利用这些应用软件用于其僵尸网络的建设。

　　4 、社交网络扩大了攻击面

　　现在，有越来越多地使用社会化网络程序如Facebook ， MySpace和Twitter的，这是很容易的非技术产品的使用，也很难为企业IT部门来监测。

　　今年2月，在华盛顿的ShmooCon安全会议上，研究人员Nathan Hamiel 和 Shawn Moyer作出演示，引导观众如何通过这些网站本身的性质使攻击变得容易，在这些网站，用户可以上传和交换图片、文字，音乐及其他内容

　　在攻击这些程序，黑客利用社交技巧来欺骗用户打开链接，从而减少恶意软件在计算机上安装，从而有效地把它变成另一个僵尸网络。总部设在亚特兰大的安全厂商Damballa公司的副总裁Ollmann表示，用户的教育仍然是一个关键，但IT企业最好加大努力，以检测鲜为人知的恶意软件造成破坏性的影响。他说，在过去的2年，检测和预防技术商店已经被广泛部署了，每一层面的防御都将更好地抵御某些攻击。

　　他说，“威胁越普遍，保护措施就应该更深入” ， “但是不法分子非常了解这些防御工作是如何运作的，所以他们使用的是更为先进的，有针对性的社会工程攻击;放眼恶意使用，有很高比例是入侵检测系统和AV代理服务器。 ” Ollmann和其他研究人员提出同样的忠告：一个最佳的防御仍是用户自身的教育。