風暴殭屍網絡

該網絡是由暴風蠕蟲（一種通過垃圾電子郵件散播的木馬）連起來的。研究預測截至2007年9月為止，風暴殭屍網絡至少藏身於1百萬到5千萬部電腦系統裏某處默默運行。其他消息來源則折衷風暴殭屍網絡的大小約為25萬到1百萬部電腦。更保守一點的估計，一位網絡保全分析家宣稱他曾寫過一個軟件“爬”過殭屍網絡，以此預測風暴殭屍網絡控制了約16萬部受感染的電腦。風暴殭屍網絡首度於2007年1月左右發現，當時風暴蠕蟲約佔所有運行於微軟窗口平台電腦流氓軟件的8%。

風暴殭屍網絡已被用於各式各樣的犯罪行為。目前它的控制者以及風暴蠕蟲的作者仍未被查出。風暴殭屍網絡已展示出防禦性的行為，顯示它的控制者正積極的保護殭屍網絡，以避免種種追蹤或者終止該程序的嘗試。殭屍網絡會針對某些試圖偵查它們的保全公司或者研究員進行攻擊。保全專家喬·史都華（Joe Stewart）透露在2007年晚期，殭屍網絡操作者開始進一步的分散其運作，可能項目將風暴殭屍網絡部分賣給其他的操作者。同時期某些報告指出風暴殭屍網絡正在收縮，然而許多保全專家報告説他們認為殭屍網絡仍舊是在線主要保全威脅，而且考量殭屍網絡身為銀行詐欺、個人信息竊取、以及其他電子犯罪方面的共犯，美國聯邦調查局仍將其列為網絡保全重點對象。

2007年9月的報告指出殭屍網絡已強大到足以將整個國家從互聯網上隔離。根據預測，它每秒運行指令的速度足以超過某些世界頂尖的超級電腦。然而，這並不是完全精確的比較。根據保全分析師詹姆士·透納（James Turner）説把殭屍網絡與超級電腦拿來比較，就像拿狙擊手組成的軍團與核武器相比較一樣。英國保全公司馬歇爾（Marshal）的布萊德雷·安斯底斯（Bradly Anstis）説：“更值得擔憂的事是帶寬。只要算一下4百萬倍的標準ADSL連接。那是很大的帶寬，這讓我相當擔憂。有像那樣的資源在他們手上—分散在世界各地，高度密佈於很多國家內—意味着他們可以對許多網頁寄存服務商投射非常有效的離散式攻擊。” ^[1] 

風暴殭屍網絡首度在2007年1月於互聯網被偵測到。它與其蠕蟲之所以得其名是因為一開始它用來感染宿主的email都有一行與風暴相關的標題，像“風暴侵襲歐洲，230人死亡。”後期聳動的標題如：“中國導彈擊落美國飛機。”以及“美國國務卿康多莉扎·賴斯踹了德國總理安格拉·默克爾一腳。”信息安全專家們懷疑某些知名在逃的垃圾郵件大王，包括李歐·庫馬耶夫（Leo Kuvayev），可能參與或控制風暴殭屍網絡的運作。科技專欄作家丹尼爾·汀南（Daniel Tynan），在他一篇以羅伯特·克靈居禮（Robert X. Cringely）作為筆名的著作寫道：很大部分風暴殭屍網絡之所以存在的過失得歸因於微軟與Adobe Systems。其他研究指出，風暴殭屍網絡獲取犧牲品的主要方法是通過經常變換其社會工程體系來蠱惑用户。根據派崔克·朗諾（Patrick Runald）的研究，風暴殭屍網絡有強烈的美國事務焦點，因此多半在美國國內有幹員在其組織中工作並支持其運作。不過，某些專家相信風暴殭屍網絡控制者羣是俄羅斯人，特別是俄羅斯商業網絡涉有重嫌。其根據是援引風暴軟件提到了對在莫斯科的卡巴斯基公司的憎恨，並且文件裏含括了個俄羅斯的單字“Buldozhka”，即“鬥牛犬”之意。 ^[1] 

風暴殭屍網絡是由微軟窗口作為其操作系統的電腦組成。一旦受到感染，機器就變成了殭屍電腦。該殭屍電腦便在電腦擁有者不知情或允許下徑自自動進行多種工作，包括任何從獲取用户數據、攻擊網站、到轉發傳染電子郵件的種種事務。預估約5千到6千部電腦是專門做通過電子郵件夾帶感染過的附件來繁殖擴散蠕蟲這件事。截至2007年9月，殭屍網絡提交了12億條病毒信息，其中光在2007年8月22日的單日紀錄就達到5千7百萬條。根據電腦法學鑑識家勞倫斯·鮑德温（Lawrence Baldwin）所言：“總合來説，暴風殭屍網絡每日提交約10億條信息。它可輕易的再多加兩個零。”勾引受害者的方法之一是感染免費音樂網站，像提供如碧昂絲·諾利斯、凱莉·克萊森、蕾哈娜、老鷹樂隊、及一些當地知名藝人音樂免費下載的網站。而基於數字簽名為主的偵測（一種大部分電腦系統對抗病毒與流氓軟件感染主要防禦手段）因受到大量風暴蠕蟲變種的攻擊而阻礙其性能。

控制殭屍網絡與風暴蠕蟲擴散的後台服務器羣自動對它們的擴散感染軟件以一小時兩次的速度重新編碼，作為新的傳播媒介。這種手段使得殺毒軟件商終止病毒擴散及運作較為棘手。另外，控制殭屍網絡的遠程服務器位置藏在一種固定變換DNS技術，叫做“快速通量”（fast flux）之後，使發現並攔截其宿主站與郵件主機更為困難。簡單來説，這羣機器名稱與位置常常輪換，往往是幾分鐘就換一次。風暴殭屍網絡操作者通過點對點技術控制系統，讓外部查殺該系統更加不易達成。在風暴殭屍網絡裏並沒有中央“命令控制點”可以停止該網絡。殭屍網絡也利用加密流傳播。其感染個人電腦的辦法通常不外乎通過操弄使人們相信並下載夾帶病毒電子郵件的幾種實做裏打轉。其中一個簡單的例子，殭屍網絡控制者利用美國國家美式足球聯盟開賽週末，提交電子郵件謊稱提供“足球賽事追蹤程序”，事實上它除了感染用户電腦以外什麼事都沒做。據MessageLabs的首席反垃圾郵件技術員麥特·斯爾金（Matt Sergeant）説：“以計算能力論，超級電腦終究不堪[殭屍網絡]一擊。如果你把所有500部頂尖的超級電腦能力加起來，超級電腦羣只能與兩百萬部殭屍網絡機器匹敵。這些罪犯擁有可使用如此計算能力實在很可怕，然而我們可以反擊的部分實在有限。”保全專家們預估現在使用的只有全部風暴殭屍網絡總容量與能力的10%到20%。

保全專家喬·史都華利用隔離考察中間系統被感染至加入殭屍網絡的方式進一步揭露其過程：嘗試加入殭屍網絡的任務是由參與對話中的電腦系統逐步運行一系列的EXE文件。通常，這些文件被按照順序命名，例如從game0.exe到game5.exe，或者類似檔名。它隨後繼續輪流引導可執行文件。這些可執行文件一般進行的任務如下：

在每個階段裏，中間跳板系統將連上殭屍網絡。快速通量DNS技術使得追蹤這個過程異常艱難。這代碼是從窗口系統%windir%\system32\wincom32.sys下通過系統內核rootkit運行，並且所有連回殭屍網絡的連接都是通過修改過的eDonkey/Overnet通信協議達成。 ^[2] 

風暴殭屍網絡以及它的變種採用廣泛的攻擊方法，因而相對多樣的的防禦步驟亦同時存在。風暴殭屍網絡不但受到其背後組織監視並自我防衞，它也會攻擊那些提供在線掃描被風暴病毒感染電腦的主機。殭屍網絡會以拒絕訪問反擊以防衞它自己，藉此保持其內部一貫性。在過去某個時段，以前用來散播殭屍網絡的風暴蠕蟲曾企圖在互聯網上釋放上百上千種它自己的版本，打算以一次密集性攻擊來壓垮殺毒反流氓軟件保全公司的防衞線。根據IBM保全研究員約書亞·柯曼（Joshua Corman）指出：“這是我記憶中有史以來第一次看過研究員真的害怕去調查這個漏洞。”研究員們仍舊不確定殭屍網絡的防禦及反擊是由程序自動引導的，或是該系統操作者手動運行的。“如果你試着給它綁個除錯器，或者對中繼站回報的站點進行查詢，殭屍網絡馬上知道並立刻懲罰你。在SecureWorks事件後，殭屍網絡中一小塊直接拒絕訪問服務某研究員並把他拿下網。每一次我聽到某個調查站試着要查這檔事，他們會自動被懲罰。它知道它自己被調查，並懲罰他們。它進行反擊。”柯曼補充道。

Spameater.com以及其他站像419eater.com與Artists Against 419，都是對抗419電子垃圾郵件詐欺的網站，他們都曾經歷過DDoS攻擊，造成被攻擊站點暫時完全無法運作。DDoS攻擊包括進行大量的同時網絡請求到這些或者其他目標的IP地址羣，造成服務器負載過荷並阻塞主機迴應請求。其他反垃圾反詐欺的集團，如Spamhaus Project，也遭受到攻擊。Artist Against 419網站網管表示該站倒站前服務器達到每小時4千億字節數據量（400gbits/h），相當於約300部ADSL連接機器同時持續不斷的上傳攻擊流量，並每部必須達到其帶寬最大理論值每秒30萬字節（300kbit/s）。鑑於理論值現實上永不可能達到，當時動員的機器可能兩倍多，並且類似做案方式發生在一打以上的反詐欺網站上。一位垃圾信件研究員陳杰夫説：“在打擊風暴殭屍網絡的觀點上，從好的方面看是艱鉅，從壞的方面看是不可能，因為這些壞蛋控制了數以百計百萬比特（megabits）的流量。某些證據顯示他們可能控制了上以百計十億比特（gigabis）的流量，這種流量足以將某些國家整個從互聯網驅離。”

風暴殭屍網絡的系統也在受害人電腦系統本地端採取步驟防衞它自己。在某些中間系統裏，殭屍網絡在窗口機器下創造了某個電腦進程；無論何時一個新程序或者其他進程開始運行該進程都會告知風暴系統。在之前，風暴蠕蟲在本地端僅僅只會告訴其他程序—如反毒反流氓程序—不去運行。然而，根據IBM保安研究指出，現在版本的暴風蠕蟲不過“愚弄”本地系統以為程序能正常運行無誤，不過實際上，它們什麼都不做。“程序，不單包括可能觸發訪問違規的exe檔、dll檔、與sys檔，亦包括軟件像P2P應用程序BearShare以及eDonkey都將看起來順利運行，即使它們並不實際上做什麼事，這種方式遠遠比起一個進程受到外面影響突然間終止那種做法較不容易讓人起疑。”Sophos公司的理查·科函（Richard Cohen）道。中間系統的用户，以及相關的保全系統，將會假定保全軟件跑得好好的，實際上陽奉陰違。

2007年9月17日，一個美國共和黨的網站被當作中繼站來散播風暴蠕蟲與殭屍網絡。2007年10月，殭屍網絡利用YouTube裏郵件系統裏CAPTCHA應用程序的漏洞，遞送垃圾郵件到Xbox擁有者，假意欺騙他們有機會贏得最後一戰3電子遊戲特別版。其他攻擊方式像利用人們喜歡可愛或者新奇事物的心理，例如微笑的小貓動畫、跳舞的骷髏圖片以獲取人們點擊木馬程序下載，還有蠱惑雅虎地球村服務的旗下用户下載軟件，因為信件假稱地球村本身需要用到它。趨勢科技的保羅·佛古森（Paul Ferguson）特別針對地球村的那次攻擊稱之為“充分準備的入侵感染”，並牽涉到俄羅斯商業網絡—一個知名的垃圾郵件與流氓軟件服務組織—的成員。2007年聖誕夜，風暴殭屍網絡開始提交有針對男與女“性”趣假期專題信息，像“找個美豚過剩蛋”（Find Some Christmas Tail）、“聖誕12女（The Twelve Girls of Christmas）”、“耶誕老婆今晚上門!（Mrs. Claus Is Out Tonight!）”、以及媚惑的女性照片。這種方式被描述為企圖在假期期間勾引更多未保護系統加入殭屍網絡以拓展其規模，而此時相對的網絡保全商的保全更新可能得花較長時間才能部署完畢。在聖誕節脱衣舞娘郵件散播後隔一日，風暴殭屍網絡操作者立刻開始提交新一輪電子郵件，宣稱希望他們的收件人都“2008年新年快樂”。

在2008年1月，殭屍網絡首度被偵測到跟釣魚網站攻擊主流金融機構掛勾，此次的目標是巴克萊銀行與海利發克斯銀行。 ^[2] 

2007年10月15日左右，研究顯示部分風暴殭屍網絡及其變種上市待售。這交易可通過使用特製的保全密鑰對殭屍網絡流量與信息加密進行。該特製密鑰允許與其相匹配的風暴殭屍網絡的每個部分、或者子區域進行聯繫。然而如果密鑰有特定長度與簽名的話，這種方式在未來將可使他人偵測、追蹤、並且封閉風暴殭屍網絡的流量，。電腦保全公司Sophos同意，將風暴殭屍網絡進行細切，可以猜測為是它準備轉售其服務的徵兆。Sophos的葛拉漢·庫雷（Graham Cluley）説：“風暴殭屍網絡對加密流的使用，是引起我們實驗室注目的有趣功能。它最有可能的用途，是提供電子罪犯租用部分的網絡以作為其濫用所需。如果網絡被這些人用來做垃圾郵件、分佈式拒絕服務攻擊、以及其他惡意用途，我們都不會感到驚訝。”保全專家們表示，如果風暴殭屍網絡被流氓軟件市場所切割，以“立即可用+殭屍網絡製作+垃圾郵件包”形式發行，世人將會看到風暴殭屍網絡相關感染與中繼電腦系統數量急遽的增加。密鑰加密功能僅僅存在於2007年10月第二週以後成為風暴殭屍網絡中繼系統的電腦。這意味着要被追蹤與屏閉在這段時間之前成為中繼電腦的系統仍舊困難重重。

在風暴殭屍網絡這部分被發現的幾日內，來自新子區塊的垃圾郵件已被各大保全公司所揭露。於10月17日晚間，保全公司開始看到新的垃圾郵件內嵌了MP3音樂檔，而該信企圖欺騙受害者去投資細價股，以作為非法炒股詐騙的一部分。研究相信此次是前所未見、首度利用實際的音樂文件以愚弄受害者的垃圾電子郵件欺詐案例。然而，幾乎不像所有其他的風暴殭屍網絡相關的電子郵件，這些新的音樂-股票欺詐信息並沒有包括任何病毒或者風暴殭屍網絡流氓軟件酬載；它完全不過是股票欺詐的一部分。

2008年1月，殭屍網絡首度被偵測出與針對主要金融機構用户的釣魚網站攻擊掛勾。瞄準的歐洲銀行機構包括：巴克萊銀行、海利發克斯銀行、以及蘇格蘭皇家銀行。F-Secure這些攻擊載台應用特製密鑰，此表示用於攻擊的殭屍網絡區塊是租來的。 ^[3] 

2007年9月25日，據估計微軟對窗口惡意軟件移除工具（MSRT）中的一個更新抑制了殭屍網絡的規模最多達20%。微軟宣稱，二百六十萬部掃描過的窗口系統中，新的補丁從其中的274,372部受感染系統中移除了風暴蠕蟲。不過，根據微軟資深保全人員所説：“超過180,000已被MSRT清理乾淨的機器，它們很可能打從第一日開始就是家用機器，意思就是不活躍參與‘風暴殭屍網絡’每日的作業。”這間接指出MSRT清理可能只是象徵性能採取的最好行動。

2007年10月末，某些報告指出風暴殭屍網絡已經正在失去其暨有規模，並且數量顯著的減少。聖地牙哥加利福尼亞大學的保全分析師布蘭登·恩來（Brandon Enright）估計殭屍網絡截至10月末已經掉到約160,000部中繼系統，與他於2007年7月預測的約1,500,000部系統相比較。不過，恩來註明：殭屍網絡的組合時常變動，而且它仍舊主動的自我防禦外來的攻擊與監測。“如果你是個研究員並且你訪問流氓軟件宿主網頁太多次...那麼一個自動進程將自動對你投射拒絕訪問攻擊。”他説道，並且隨後補充了他的研究使得風暴殭屍網絡攻擊聖地牙哥加利福尼亞大學，造成該校部分的網絡癱瘓無法上網。

電腦保全公司McAfee表示風暴蠕蟲很可能是未來攻擊的基礎。之前發現Mydoom蠕蟲的著名保全專家克雷格·雪姆加（Craig Schmugar）稱風暴殭屍網絡是趨勢設立者，其行為引領了罪犯們利用更多類似的策略。這類殭屍網絡的衍申之一被賦予“垃圾郵件幫派名人”的稱號，肇因於他們使用與風暴殭屍網絡控制者類似的技術工具。然而，不像過去風暴操作者使用來勾引犧牲品的複雜社交工程那樣，垃圾郵件幫派名人承散播影視名人（如安吉麗娜·朱莉與布蘭妮·斯皮爾斯）的裸照之便。思科系統保全專家在報告中指出他們相信風暴殭屍網絡在2008年依然是個嚴重威脅，並且説他們預測其規模仍保持在“上百萬部”。

於2008年年初，在其黑帽經濟體系下運作的風暴殭屍網絡也碰到了其商業上的競爭對手：努哈赤（Nugache）組織，它是另一個類似的、首度於2006年被鑑識出來的殭屍網絡。報告指出介於兩者殭屍網絡操作者為其電子郵件遞送服務銷路的價格戰可能暗潮洶湧。隨着介於2007-2008年聖誕節與元旦假期間，德國Honeynet項目研究者報告指出風暴殭屍網絡可能會在該期間最多擴展其20%的規模。MessageLabs Intelligence於2008年3月的報告預測所有互聯網上的垃圾電子郵件總數超過20%來自於風暴殭屍網絡。 ^[3]