Rustock僵尸网络平均每天发送300亿封垃圾邮件,或许只由两三个人控制。在击败这个垃圾邮件网络后早些时候的分析提到,这个垃圾网络是一个小团队的杰作。Rustock僵尸网络由大约100万台受到劫持的PC机组成,采用了一系列的技巧来隐藏自己从而躲避安全检查好些年。由于抓住了僵尸网络的服务器,全球垃圾邮件的数量大幅下降,现在处于相当低的一个水平。
收益
Alex Lanstein是火眼公司(FireEye)的高级工程师,他帮助调查Rustock僵尸网络他说“看起来好像最多不会超过两三个人在发这些垃圾邮件。”
Lanstein先生这样判断的根据是他对僵尸网络的熟悉,因为他在过去几年中一直在努力关停它们。
他说藏在恶意软件中的代码的特点和这个网络巨人的行事方式暗示了这个僵尸网络只被一个小团队操控。
由火眼( FireEye)、微软、辉瑞和其它公司同时采取的行动找到了在美国7个城市中的96个服务器上的数据中心,它们在 Rustock僵尸网络中扮演了下命令和控制系统的角色。
Lanstein先生称服务器上的硬盘已经交给法庭,来搜寻可以查明僵尸网络控制者身份的线索。
他预感有一个小团伙隐藏在Rustock的背后,部分原因是因为它与像 Zeus这样的垃圾邮件网络有相当的区别。
Zeus这样的垃圾邮件网络操作就像特许经营一样,涉及到很多不同的群体和网络犯罪分子。
相反,Rustock受到严密的控制,如果规模太大,就会带来令人头痛的互联网商业方面的管理。
他说,“这样一来管理他们的资产和更新一百万台使用者网络信息将会带来很多烦。”
他说,由于采用了聪明的控制方式,Rustock躲避开了几年的追踪。当受害者访问被植入病毒的广告和链接的网站时,就会跳进陷阱。
一旦PC机被控制,就会使用加密协议定期更新它们。这些下载包括分发几十亿封兜售假药的垃圾邮件的作弊引擎。
Rustock对PC机的更新伪装成好像是论坛上的内容,这使得它们很难被安全软件辨认出来,一般的安全软件主要检查恶意软件的典型的特征。
控制Rustock的服务器位于美国的网络托管中心,而不是在海外。
Lanstein先生说, ““命令和控制”服务器不是坐落在大城市地区,而是位于美国中部,这就使它们能躲开监控。”
他说,“命令和控制”服务器托管的成本是大约每月$10,000。
Lanstein先生称 很难估计Rustock 操控者挣了多少钱, 但是很可能是一个巨大的数字。
Lanstein先生说,自从这次抓获以后,的控制者好像并没有重新启动他们的控制的意思。微软采用的技术措施可能限制了将来任何的重新控制的企图。又提到他不确定他们是否正尽力重新控制。
“如果你是一个程序员,意识到微软法律部的全部力量都只想你,那么你或许提醒自己是时候转行了。”他说。
转载请注明:IT运维空间 » 安全防护 » 僵尸网络被粉碎 寻找背后故事
发表评论