Dragnet: Big Escape / Big Man Part 1 / Big Man Part 2
大学使用大约六年前建立的所谓的darknet传感器,以便跟踪恶意活动。在美国国土安全部的资助下,计算机科学家们联合起来分享世界各地的传感器所收集的数据。
“目标是足够接近,以便您可以开始绘制如何传播开始了,“密歇根大学的研究生Jon Oberheide正在研究该项目。
这不是一件容易的事。为了找到能够识别受害者的微小线索,研究人员必须筛选超过50 TB的数据,希望能够找到Conficker扫描的指示签名。
Conficker的其中一个方法是扫描网络其他易受攻击的计算机,但确实很难发现它,Oberheide说。 “很难找到确切的Conficker扫描活动,因为还有很多其他扫描正在进行,”他说,“然而,追踪患者零点已经完成。 2005年,研究人员追踪了2004年Witty蠕虫的第一个受害者(pdf),这是美国的一个军事基地,甚至发现了用于发动攻击的欧洲IP地址。
然而,Conficker已经出现的任何东西已经有几年了,重现这一努力的机会并不多。
当Conficker在10月份首次出现时,研究人员突然间休息了一下。其他蠕虫通过阻止黑网IP地址躲过了这种分析,但是Conficker的作者没有这样做。 Oberheide说:“我们很惊讶它完全随机扫描,并没有将我们特定的传感器列入黑名单。” “如果他们做了一点研究,他们可以发现我们的[网络]。”
在Conficker爆发后不久,密歇根大学的研究人员发现他们的传感器有一个大的峰值,这是他们认为是蠕虫的原因。该网络在11月份每小时收集大约2G的数据,但现在它接近8G。 “我们在这些Darknet传感器上看到的活动增加了……令人难以置信,”Oberheide说。 “现在这个数据实际上是有用的,我们可以回顾6个月,看看这个蠕虫实际上在做什么,”他补充道,“另一个名为CAIDA(互联网数据分析合作协会)的小组在本月早些时候发布了Conficker分析。密歇根大学的研究人员希望在接下来的几周内对他们的数据进行类似的分析,但是可能需要几个月的时间才能将病例缩小至患者零。
与此同时,“目标是让自己足够接近实际上可以开始绘制传播的开始,“Oberheide说,”