IronPort揭露网上犯罪生态系统

关键词： IronPort

IronPort发现恶意软件制作人与非法网上药品供应链之间的联系

7月17日，思科安全业务部门IronPort宣布发现了网上犯罪生态系统的关键所在：利用僵尸网络发送垃圾邮件来宣传其网站的非法药品供应链。

通过把垃圾邮件转换成具有高价值的药物购买行为，这些药品供应链企业让兜售信息的僵尸网络盈利，为僵尸网络攻击以及持续的创新提供利润来源。在IronPort最新的年度网络安全趋势报告中，IronPort分析了这些僵尸网络的影响并且揭示了药品垃圾信息与相关恶意软件经济背后的真正驱动因素。

IronPort技术副总裁同时也是思科院士Patrick Peterson表示：根据我们之前的研究，利用僵尸网络的加拿大药品网站按订单售出的非法药品背后有一个非常精明的供应链。但是到目前为止，专注技术的僵尸网络负责人与全球供应链组织之间的关系仍然不为人所知。我们的研究表明，Storm和其它僵尸网络生成委托订单，然后由Spamlt.com或GlavMed等供应商完成订单，这些发布信息的公司每年可以获得超过1.5亿美金的收入。

IronPort研究表明，Storm僵尸网络发布的邮件中有超过80%是网上药店的广告，比如CanadianPharmacy.com、TheCanadianMeds.com以及CanadianPharmacyLtd.com。这些垃圾邮件通过多种社会工程诡计以及网络数据搜索感染的数以百万计的个人电脑发送。

进一步研究表明，与Strom（风暴）恶意软件合作的一个俄罗斯犯罪组织GlavMed提供了垃圾邮件模板、垃圾邮件广告的网址、网站设计、信用卡处理、产品实现以及客户支持。

GlavMed利用僵尸网络垃圾邮件发送者来宣传他们的非法药品网站，后者将获得销售订单额的40%作为佣金。GlavMed负责完成医药产品订单、信用卡处理以及客户支持服务。

但是，IronPort发起的一个药品测试显示：虽然这些药品中有三分之二含有活性成分，但是剂量不准确，而其他部分则仅仅是安慰剂。最后结果就是，消费者服下了来自外国分销商的未知物质，面临很大的风险。

关于Storm僵尸网络以及它与GlavMed供应链之间的关系详见IronPort的特别报告《2008年互联网恶意软件发展趋势：Storm僵尸网络与社会工程的未来》。这份报告同时指出了一些恶意软件感染寄主PC并跳过安全软件的方法。这些方法包括：

网络垃圾邮件。复杂的僵尸网络结合自动以及手动Captcha破坏程序来产生大量的网络邮件账户。（“Capcha”表示区分计算机和人类的全自动公开图灵测试。一个普通的“Captcha”测试需要有人输入一系列扭曲的字母和数字来保证回答不是计算机生成的。）

账户产生后，僵尸网络利用这些账户发送垃圾邮件信息，并且这些垃圾信息接收者以为这些信息源于合法ISP的邮件服务器，而不是僵尸网络。这些信誉盗窃式攻击在2008年的第一季度占据了垃圾信息的5%，而在上一个季度还不到1%。

利用Google搜索。下一代恶意软件利用Google的“手气不错”搜索选项把用户导向受感染网站。大约1.3%的Google搜索会把恶意软件网站作为合法结果。由于每分钟都会有大量的搜索在进行，这项功能是恶意软件发布者的潜在巨大机会。

邮件自动回复功能。当用户启用邮箱的自动回复功能时，垃圾邮件散布者将能够确定这些邮件地址是存在的，而且使得垃圾信息发布者劫持此企业邮件服务器以看似合法的方式发送垃圾邮件。这种攻击方式相当新，它体现了垃圾邮件发布者在寻求跳过垃圾邮件过滤器时非常精明。

报告中研究的僵尸网络的特别之处在于它们把垃圾邮件活动和当前事件或者牟利网站联系起来，并且通过邮件和网站结合来传播。此外，这些分散且高度协同的攻击产生了多种多样的网络入侵，从邮件与博客垃圾信息到网络钓鱼、即时通信（IM）攻击以及分布式拒绝服务（DDoS）攻击。

根据IronPort研究人员的说法，Storm恶意软件是此复杂社会工程趋势的先驱，在2008年1月和2月间累计影响了全球范围内四千万台电脑。在2007年7月的高峰期，Storm总共占据了垃圾信息总量的20%，感染了140万台电脑。并且，它每个月会继续感染或者重新感染90万台电脑。

截至2007年9月，生成Storm垃圾消息的同时活跃计算机的数量减少到每天28万台，并且它发出的垃圾信息只占所有垃圾信息的4%。目前，Storm只占每天发送的1610亿条垃圾信息的一小部分，但是Storm的变种仍然活跃。

在评估这类基于社会工程的攻击带来损害的同时，此项报告详细介绍了垃圾信息和病毒的可能的发展趋势以及企业为保证其网络安全所应采取的措施。垃圾信息已经不仅仅是个人寻求荣耀的产物。

现在，它已经变种为有组织，有技术含量的，有资金支持的行为，并且其规模在一定程度上可以和合法软件生产商相媲美。为了提高效率以及收益，恶意软件制造商甚至开始以整套方案出售其产品，包括技术支持、分析与管理工具以及软件更新。近期发现的僵尸网路恶意软件有Bobax、Kraken/Kracken和Srizbi。

为了阻止Storm及后续僵尸网络的扩散，IronPort的报告向每个公司推荐使用垃圾邮件过滤器，评估其网络信誉，监测端口以及通信活动，并保持所有的反病毒或者反恶意软件产品时时更新。