Vitaly Kamluk拥有超过10年的IT安全领域经验,现在他担任卡巴斯基实验室首席安全研究员。他专门从事研究恶意软件逆向工程、计算机取证和网络犯罪调查。目前,Vitaly居住在新加坡,作为国际刑警组织数字取证实验室的成员,开展恶意软件分析和调查支持方面的工作。
https://instagram.com/p/1xKFAOv0I5/
为此我们提议我们博客的读者们向Vitaly提出各种相关问题。由于所提问题实在太多,因此我们决定将这些问答内容整理后分成几篇博文刊登。今天,Vitaly将对有关DDoS(分布式拒绝攻击)和僵尸网络方面的问题为读者进行解答。
全世界有多少个控制数量超过5万台僵尸电脑的大型僵尸网络?
我的个人感觉应该不会超过20个,但这纯粹是猜测,因为通常我们只有将僵尸网络关闭后才能弄清它的真正规模。尽管网络犯罪分子的目的是感染尽可能多的电脑,但他们往往会将僵尸网络的规模保持在一个特定规模以下,以防引起过多注意。
You can now check to see if your PC is part of the SIMDA botnet – http://t.co/jB2RXKGGYI pic.twitter.com/Jgi74gCC87
— Kaspersky (@kaspersky) April 21, 2015
是否存在一些旨在创建包含智能手机、PC电脑和苹果电脑集群的极端复杂僵尸网络?
有时候,一个僵尸网络内可能会同时包含受感染的僵尸电脑和僵尸手机。典型的例子就是ZitMo僵尸网络和针对PC电脑的Zeus僵尸网络。的确还有一些针对苹果电脑的僵尸网络,但根据我们的经验这些大多都独立存在。
我们该如何检测僵尸网络?从哪个方面着手开始?有关恶意软件和僵尸网络有哪些最新趋势?
首先,你要在硬盘上检测出可疑程序或文件。第二步,分析可疑目标并查找所有命令和控制服务器的位置。随后你需要学习相关协议知识并定期从C&C机制请求更新。
近期的一些趋势表明恶意软件和僵尸网络会搜索可靠控制机制,例如那些基于Tor(洋葱路由)和P2P通信的机制。有许多讨论这一主题的论文和白皮书,只需简单搜索”Tor Botnet”即可找到。
Default credentials on home routers lead to massive DDoS-for-hire botnet – http://t.co/2SbvLcwcvu pic.twitter.com/20O0GWwVOt
— Kaspersky (@kaspersky) May 13, 2015
怎样才能摆脱僵尸网络控制?
最好的方法当然是将僵尸网络拥有人送入监狱。同时,第一时间报警逮捕僵尸网络软件、漏洞利用工具以及打包软件的分销人和开发者可能更有效果。
僵尸网络来自哪里?开发僵尸网络软件使用何种程序语言?如何排除本地系统感染僵尸网络的可能性?在突发情况下,一旦网络攻击并未被成功阻止,是否还有第二道防线?
僵尸网络可以说是无处不在,而编程语言则要看开发者的个人喜好了。要想确保你的系统并未变成僵尸网络的一部分,应该使用反病毒软件进行病毒扫描并检查网络通信情况。你需要确保系统内不存在任何奇怪和未知的连接。
专家问答:Vitaly @ vkamluk Kamluk为您解答有关DDoS和僵尸网络的问题
Tweet
至于说到第二道防线,不幸的是,目前的电脑系统构架在设计时并未考虑到这一点。因此,计算机系统用户该为此担起责任。而远程消除此类网络威胁通常会被错认为是网络入侵且大多数情况下都被认为非法操作。毕竟,一旦你的系统感染了僵尸网络后就无法完全予以信赖,而彻底重装系统则会让情况变得更糟。许多用户对计算机是否感染僵尸网络毫不关心,到遭受资金损失时就追悔莫及了。
Statistics on botnet-assisted DDoS attacks in Q1 2015 – http://t.co/aTTLE1KQdq
— Kaspersky (@kaspersky) June 1, 2015
现代僵尸网络是否存在通过IRC进行控制的情况?是否让僵尸网络拥有者丧失控制IRC的能力就能彻底消除僵尸网络?
网络犯罪分子可以使用不同方法来控制僵尸网络。IRC只是众多应用协议中的一种,当然有优点也有缺点。但我可以肯定地说IRC已经过时了—创建现代僵尸网络通常都使用HTTP。
毫无疑问,要想彻底消除僵尸网络,你需要找到并报警逮捕它的拥有人。而这正是我们与国际刑警组织合作的内容。尝试让它的拥有人丧失僵尸网络控制能力效果并不大,因为大部分网络犯罪分子都能熟练应对这样的抵抗措施。
在不同的用户边缘路由器、网络服务提供商、地区、国家甚至跨国网络服务提供商的背景下,一旦发现DDoS部署尝试该采用哪些工具和方法?
无论是来自用户边缘路由器还是大型网络服务提供商的最强大工具都能起到有效过滤的作用。但前提是你先要对该网络威胁进行研究。这也是为什么抓住由DDoS支持的僵尸网络以及加以仔细分析显得如此重要。终极解决方案是接管僵尸网络控制机制并从中心电脑彻底关闭,但这又是另一回事了。
是否有可能缓解放大DDoS攻击?
将遭受攻击的目标转移到其它地方并实施多层过滤可以有效缓解。
You asked, @vkamluk answered in this Q&A. Including how @INTERPOL_Cyber catches the bad guys #security #infosec http://t.co/OdmEjOA0ZG
— Kaspersky (@kaspersky) June 25, 2015
我如何才能知道自己的电脑是否已成为僵尸网络的一部分或他人的比特币挖矿机?
检查系统内是否存在恶意软件,因为只有恶意软件才会在没有得到你允许的情况下进行比特币挖矿或将你的PC电脑作为僵尸网络的一部分。以下提供了一些最有效检查恶意软件的方法:
1.使用可靠的反病毒解决方案扫描你的系统—这能够大大节约时间,但千万不要认为自动扫描程序就100%可靠,继续往下看。
2.检查你的进程列表是否存在可疑和未知程序:我想大多数用户都能辨识系统中正在运行的所有进程。
3.检查自启动程序列表。这里推荐一款Windows免费应用程序- Sysinternals Autoruns tool。
4.最后,对系统进行高级检测,包括将计算机连上互联网以及对通过的所有网络流量进行记录。这样做能发现一些可疑行为,因为在受感染系统内会对可疑程序进行隐藏。
过两天我们还将带来更多的精彩问答内容。敬请期待!