加利福尼亚大学的研究人员对着名的强大黑客电脑网络进行了为期10天的控制,并深入了解了它如何窃取个人和财务数据。
这个称为Torpig或Sinowal的僵尸网络是更复杂的网络之一,它使用难以检测的恶意软件感染计算机,并随后收集数据,如电子邮件密码和在线银行凭证。通过利用黑客用来控制计算机的命令与控制网络中的弱点,能够监控超过180,000台黑客计算机。根据研究人员的13页文章,它只能工作10天,直到黑客更新了命令和控制指令。
[更多阅读:如何从Windows PC中删除恶意软件]
尽管如此,这足以证明Torpig / Sinowal的数据收集能力。在这段短时间内,大约70G字节的数据是从黑客计算机中收集的。研究人员存储了这些数据,并正在与执法机构(如美国联邦调查局,ISPs甚至美国国防部)受害者。他们写道,互联网服务提供商也关闭了一些用来向被黑客机器提供新命令的网站。Torpig / Sinowal可以从Outlook,Thunderbird和Eudora等电子邮件客户端盗取用户名和密码,同时还收集这些程序中的电子邮件地址供垃圾邮件发送者使用。它还可以从Web浏览器收集密码。
如果计算机访问旨在测试计算机是否有未打补丁的软件的恶意网站,Torpig / Sinowal可以感染计算机,这种技术被称为驱动式下载攻击。如果计算机很脆弱,那么称为Rootkit的低级别恶意软件会深入到系统中。研究人员发现Torpig / Sinowal最初感染了Mebroot,一个rootkit出现在2007年12月左右。
Mebroot感染计算机的主引导记录(MBR),这是计算机在BIOS运行后启动操作系统时查找的第一个代码。 Mebroot功能强大,因为任何离开计算机的数据都可以被拦截。
Mebroot还可以将其他代码下载到计算机中。
Torpig / Sinowal可以在用户访问某些网上银行和其他网站时获取数据。它的编码是为了响应300多个网站,其中最有针对性的是PayPal,Poste Italiane,Capital One,E-Trade和Chase银行,如果一个人访问银行网站,伪造的表单被交付,似乎是合法网站的一部分,但要求银行通常不会请求的一系列数据,例如PIN(个人识别号码)或信用卡号码。
使用的网站研究人员写道,SSL(安全套接字层)加密技术如果被Torpig / Sinowal使用,不会安全,因为恶意软件会在信息加密之前获取信息。
黑客通常会在地下论坛上销售密码和银行信息,以其他犯罪分子试图将数据转化为现金。研究报告称,虽然很难准确估计10天内收集到的信息的价值,但其价值可能在83,000美元至8,300万美元之间。有些方法可能会破坏Torpig / Sinowal等僵尸网络。僵尸网络代码包括一种生成恶意软件为新指令调用的域名的算法
安全工程师通常能够找出这些算法来预测恶意软件将调用哪些域,并预先注册这些域以破坏僵尸网络。然而,这是一个昂贵的过程。例如,Conficker蠕虫每天最多可生成50,000个域名。
研究人员写道,注册商,销售域名注册的公司应该在与安全社区的合作中发挥更大的作用。但是,注册服务机构有其自身的问题
“除少数例外,他们通常缺乏资源,激励或文化来解决与其角色相关的安全问题,”该报称。