风暴僵尸网络或称为风暴蠕虫僵尸网络，是一种受远程控制的僵尸计算机（或直译机器人网络）组成的网络。该网络是由暴风蠕虫（一种通过垃圾电子邮件散播的木马）连起来的。研究预测截至2007年9月为止，风暴僵尸网络至少藏身于1百万到5千万台计算机系统里某处默默运行。其他消息来源则折衷风暴僵尸网络的大小约为25万到1百万台计算机。更保守一点的估计，一比特网络保全分析家宣称他曾写过一个软件“爬”过僵尸网络，以此预测风暴僵尸网络控制了约16万台受感染的计算机。

简介

起源

组成

方法论

加密与销售

现状

简介

风暴僵尸网络已被用于各式各样的犯罪行为。目前它的控制者以及风暴蠕虫的作者仍未被查出。风暴僵尸网络已展示出防御性的行为，显示它的控制者正积极的保护僵尸网络以避免种种追踪或者终止该程序的尝试。僵尸网络会针对某些试图侦查它们的保全公司或者研究员进行攻击。保全专家乔·史都华(Joe Stewart)透露在2007年晚期，僵尸网络操作者开始进一步的分散其运作，可能计划将风暴僵尸网络部分卖给其他的操作者。同时期某些报告指出风暴僵尸网络正在收缩，然而许多保全专家报告说他们认为僵尸网络仍旧是在线主要保全威胁，而且考量僵尸网络身为银行诈欺、个人信息窃取、以及其他电子犯罪方面的共犯，美国联邦调查局仍将其列为网络保全重点对象。

2007年9月的报告指出僵尸网络已强大到足以将整个国家从互联网上隔离。根据预测，它每秒执行指令的速度足以超过某些世界顶尖的超级计算机。然而，这并不是完全精确的比较。根据保全分析师詹姆士·透纳(James Turner)说把僵尸网络与超级计算机拿来比较，就像拿狙击手组成的军团与核武器相比较一样。英国保全公司马歇尔(Marshal)的布莱德雷·安斯底斯(Bradly Anstis)说：“更值得担忧的事是带宽。只要算一下4百万倍的标准ADSL连接。那是很大的带宽，这让我相当担忧。有像那样的资源在他们手上 — 分散在世界各地，高度密布于很多国家内 — 意味着他们可以对许多网页寄存服务商投射非常有效的离散式攻击。”

起源

风暴僵尸网络首度在2007年1月于互联网被侦测到。它与其蠕虫之所以得其名是因为一开始它用来感染宿主的email都有一行与风暴相关的标题，像“风暴侵袭欧洲，230人死亡。”后期耸动的标题如：“中国导弹击落美国飞机。”以及“美国国务卿康多莉扎·赖斯踹了德国总理安格拉·默克尔一脚。”信息安全专家们怀疑某些知名在逃的垃圾邮件大王，包括李欧·库马耶夫 (Leo Kuvayev)，可能参与或控制风暴僵尸网络的运作。科技专栏作家丹尼尔·汀南(Daniel Tynan)，在他一篇以罗伯特·克灵居礼(Robert X. Cringely)作为笔名的著作写道：很大部分风暴僵尸网络之所以存在的过失得归因于微软与Adobe Systems。其他研究指出，风暴僵尸网络取得牺牲品的主要方法是通过经常变换其社会工程体系来蛊惑用户。根据派崔克·朗诺(Patrick Runald)的研究，风暴僵尸网络有强烈的美国事务焦点，因此多半在美国国内有干员在其组织中工作并支持其运作。不过，某些专家相信风暴僵尸网络控制者群是俄罗斯人，特别是俄罗斯商业网络涉有重嫌。其根据是援引风暴软件提到了对在莫斯科的卡巴斯基公司的憎恨，并且文件里含括了个俄罗斯的单字"buldozhka"，即“斗牛犬”之意。

组成

机器人网络，或称僵尸网络，是由微软窗口作为其操作系统的计算机组成。一旦受到感染，机器就变成了僵尸计算机。该僵尸计算机便在计算机拥有者不知情或允许下迳自自动进行多种工作 — 包括任何从取得用户数据、攻击网站、到转发传染电子邮件的种种事务。预估约5千到6千台计算机是专门做通过电子邮件夹带感染过的附件来繁殖扩散蠕虫这件事。截至2007年9月，僵尸网络送出了12亿条病毒信息，其中光在2007年8月22日的单日纪录就达到5千7百万条。根据计算机法学鉴识家劳伦斯·鲍德温(Lawrence Baldwin)所言：“总合来说，暴风僵尸网络每天送出约10亿条信息。它可轻易的再多加两个零。”勾引受害者的方法之一是感染免费音乐网站，像提供如碧昂丝·诺利斯、凯莉·克莱森、蕾哈娜、老鹰乐队、及一些当地知名艺人音乐免费下载的网站。而基于数字签章为主的侦测 (一种大部分计算机系统对抗病毒与流氓软件感染主要防御手段) 因受到大量风暴蠕虫变种的攻击而阻碍其效能。

控制僵尸网络与风暴蠕虫扩散的后台服务器群自动对它们的扩散感染软件以一小时两次的速度重新编码，作为新的传播媒介。这种手段使得杀毒软件商终止病毒扩散及运作较为棘手。另外，控制僵尸网络的远程服务器位置藏在一种固定变换DNS技术，叫做“快速通量”(fast flux)之后，使发现并拦截其宿主站与邮件主机更为困难。简单来说，这群机器名称与位置常常轮换，往往是几分钟就换一次。风暴僵尸网络操作者通过点对点技术控制系统，让外部查杀该系统更加不易达成。在风暴僵尸网络里并没有中央“命令控制点”可以停止该网络。僵尸网络也利用加密流传播。其感染个人计算机的办法通常不外乎通过操弄使人们相信并下载夹带病毒电子邮件的几种实做里打转。其中一个简单的例子，僵尸网络控制者利用美国国家美式足球联盟开赛周末，送出电子邮件谎称提供“足球赛事追踪程序”，事实上它除了感染用户计算机以外什么事都没做。据MessageLabs的首席反垃圾邮件技术员麦特·斯尔金(Matt Sergeant)说：“以计算能力论，超级计算机终究不堪[僵尸网络]一击。如果你把所有500台顶尖的超级计算机能力加起来，超级计算机群只能与两百万台僵尸网络机器匹敌。这些罪犯拥有可使用如此计算能力实在很可怕，然而我们可以反击的部分实在有限。”保全专家们预估现在使用的只有全部风暴僵尸网络总容量与能力的10%到20%。

保全专家乔·史都华利用隔离考察中间系统被感染至加入僵尸网络的方式进一步揭露其过程：尝试加入僵尸网络的任务是由参与对话中的计算机系统逐步执行一系列的EXE文件。通常，这些文件被按照顺序命名，例如从game0.exe到game5.exe，或者类似档名。它随后继续轮流启动执行档。这些执行档一般进行的任务如下[28]：

game0.exe — 后门 / 下载器

game1.exe — SMTP转发

game2.exe — Email 地址盗号器

game3.exe — Email 病毒扩散器

game4.exe — 分布式阻断服务攻击 (DDos) 工具

game5.exe — 更新过的风暴蠕虫拷贝

在每个阶段里，中间跳板系统将连上僵尸网络。快速通量DNS技术使得追踪这个过程异常艰难。这代码是从窗口系统 %windir%\\system32\\wincom32.sys 下通过系统内核rootkit执行，并且所有连回僵尸网络的连接都是通过修改过的eDonkey/Overnet通讯协议达成。

方法论

风暴僵尸网络以及它的变种采用广泛的攻击方法，因而相对多样的的防御步骤亦同时存在。风暴僵尸网络不但受到其背后组织监视并自我防卫，它也会攻击那些提供在线扫描被风暴病毒感染计算机的主机。僵尸网络会以拒绝访问反击以防卫它自己，借此保持其内部一贯性。在过去某个时段，以前用来散播僵尸网络的风暴蠕虫曾企图在互联网上释放上百上千种它自己的版本，打算以一次密集性攻击来压垮防毒反流氓软件保全公司的防卫线。根据IBM保全研究员约书亚·柯曼（Joshua Corman）指出：“这是我记忆中有史以来第一次看过研究员真的害怕去调查这个漏洞。”研究员们仍旧不确定僵尸网络的防御及反击是由程序自动激活的，或是该系统操作者手动运行的。“如果你试着给它绑个除错器，或者对中继站回报的站点进行查询，僵尸网络马上知道并立刻惩罚你。在SecureWorks事件后，僵尸网络中一小块直接拒绝访问服务某研究员并把他拿下网。每一次我听到某个调查站试着要查这档事，他们会自动被惩罚。它知道它自己被调查，并惩罚他们。它进行反击。”柯曼补充道。

Artists Against 419，是对抗419电子垃圾邮件诈欺的网站，他们都曾经历过DDoS攻击，造成被攻击站点暂时完全无法运作。DDoS攻击包括进行大量的同时网络请求到这些或者其他目目标IP地址群，造成服务器负载过荷并阻塞主机回应请求[36]。其他反垃圾反诈欺的集团，如Spamhaus Project，也遭受到攻击。Artist Against 419网站网管表示该站倒站前服务器达到每小时4千亿字节数据量（400gbits/h），相当于约300台ADSL连接机器同时持续不断的上载攻击流量，并每台必须达到其带宽最大理论值每秒30万字节（300kbit/s）。鉴于理论值现实上永不可能达到，当时动员的机器可能两倍多，并且类似做案方式发生在一打以上的反诈欺网站上。一比特垃圾信件研究员陈杰夫说：“在打击风暴僵尸网络的观点上，从好的方面看是艰巨，从坏的方面看是不可能，因为这些坏蛋控制了数以百计百万比特（megabits）的流量。某些证据显示他们可能控制了上以百计十亿比特（gigabis）的流量，这种流量足以将某些国家整个从互联网驱离。”

风暴僵尸网络的系统也在受害人计算机系统本地端采取步骤防卫它自己。在某些中间系统里，僵尸网络在窗口机器下创造了某个计算机进程；无论何时一个新程序或者其他进程开始运行该进程都会告知风暴系统。在之前，风暴蠕虫在本地端仅仅只会告诉其他程序 — 如反毒反流氓程序 — 不去运行。然而，根据IBM保安研究指出，现在版本的暴风蠕虫不过“愚弄”本地系统以为敌方程式正常运行无误，不过实际上，它们什么都不做。“程序，不单包括可能触发访问违规的exe档、dll档、与sys档，亦包括软件像P2P应用程序BearShare以及eDonkey都将看起来顺利运行，即使他们并不实际上做什么事，这种方式远远比起一个进程受到外面影响突然间终止那种做法较不容易让人起疑。”Sophos公司的理查·科函（Richard Cohen）道。中间系统的用户，以及相关的保全系统，将会假定保全软件跑得好好的，实际上阳奉阴违。

2007年9月17日，一个美国共和党的网站被当作中继站来散播风暴蠕虫与僵尸网络。2007年10月，僵尸网络利用YouTube里邮件系统里CAPTCHA应用程序的漏洞，递送垃圾邮件到Xbox拥有者，假意欺骗他们有机会赢得最后一战3电子游戏特别版。其他攻击方式像利用人们喜欢可爱或者新奇事物的心理，例如微笑的小猫动画、跳舞的骷髅图片以取得人们点击木马程序下载，还有蛊惑雅虎地球村服务的旗下用户下载软件，因为信件假称地球村本身需要用到它。趋势科技的保罗·佛古森（Paul Ferguson）特别针对地球村的那次攻击称之为“充分准备的入侵感染”，并牵涉到俄罗斯商业网络—一个知名的垃圾邮件与流氓软件服务组织—的成员。2007年圣诞夜，风暴僵尸网络开始送出有针对男与女“性”趣假期专题信息，像“找个美豚过剩蛋”（Find Some Christmas Tail）、“圣诞12女（The Twelve Girls of Christmas）”、“耶诞老婆今晚上门!（Mrs. Claus Is Out Tonight!）”、以及媚惑的女性照片。这种方式被描述为企图在假期期间勾引更多未保护系统加入僵尸网络以拓展其规模，而此时相对的网络保全商的保全更新可能得花较长时间才能部署完毕。在圣诞节脱衣舞娘邮件散播后隔天，风暴僵尸网络操作者立刻开始送出新一轮电子邮件，宣称希望他们的收件人都“2008年新年快乐”。

在2008年1月，僵尸网络首度被侦测到跟钓鱼网站攻击主流金融机构挂勾，此次的目标是巴克莱银行与海利发克斯银行。

加密与销售

2007年10月15日左右，研究显示部分风暴僵尸网络与其变种上市待售[45][46]。这交易可通过使用特制的保全金钥对僵尸网络流量与信息加密进行[24]。该特制金钥允许与其相匹配的风暴僵尸网络的每个部分、或者子区域进行联系。然而，这种方式在未来可使他人侦测、追踪、并且屏闭风暴僵尸网络的流量，如果金钥有特定长度与签名的话[45]。计算机保全公司Sophos同意，将风暴僵尸网络划分很可能是它转售其服务征兆的这个臆测。Sophos的葛拉汉·库雷 (Graham Cluley)说：“风暴僵尸网络对加密流的使用是一个引起我们实验室注目的有趣功能。它最有可能的用途在提供电子罪犯租用部分的网络以作为其滥用所需。如果网络被这些人用来做垃圾邮件、分布式阻断服务攻击、以及其他恶意用途，我们都不会感到惊讶。”[47]保全专家们表示，如果风暴僵尸网络被流氓软件市场所切割，以“立即可用+僵尸网络制作+垃圾邮件包”形式发行，世人将会看到风暴僵尸网络相关感染与中继计算机系统数量急遽的增加[48]。加密仅仅只有影响到自2007年10月第二周以来风暴僵尸网络作为中继系统的计算机，意味着任何在这个时段之前被当作中继计算机的系统被追踪与屏闭仍旧困难重重[49]。

在风暴僵尸网络这部分被发现的几天内，来自新子区段的垃圾邮件已被各大保全公司所揭露。于10月17日晚间，保全公司开始看到新的垃圾邮件内嵌了MP3音乐档，而该信企图欺骗受害者去投资细价股，以作为非法炒股诈骗的一部分。研究相信此次是前所未见、首度利用实际上音乐文件以愚弄受害者的垃圾电子邮件欺诈案例[50]。然而，几乎不像所有其他的风暴僵尸网络相关的电子邮件，这些新的音乐-股票欺诈信息并没有包括任何病毒或者风暴僵尸网络流氓软件酬载；它完全不过是股票欺诈的一部分[51]。

2008年1月，僵尸网络首度被侦测出与针对主要金融机构用户的钓鱼网站攻击挂勾。瞄准的欧洲银行机构包括：巴克莱银行、海利发克斯银行、以及苏格兰皇家银行[44][52]。F-Secure指出特制金钥意味着用于攻击的僵尸网络区段是租来的[52]。

现状

2007年9月25日，据预测微软对窗口恶意软件移除工具(MSRT)中的一个更新可抑制僵尸网络的规模最多达20%[53]。微软宣称，新的修补程序从二百六十万台扫描过的窗口系统中274,372台移除风暴蠕虫[54]。不过，根据微软资深保全人员所说：“超过180,000已被MSRT清理干净的机器，它们很可能打从第一天开始就是家用机器，意思就是不活跃参与‘风暴僵尸网络’每日的作业。”这间接指出MSRT清理可能只是象征性能采取的最好行动[55]。

2007年10月末，某些报告指出风暴僵尸网络已经正在失去其暨有规模，并且数量显著的减少[56]。圣地牙哥加利福尼亚大学的保全分析师布兰登·恩来 (Brandon Enright)估计僵尸网络截至10月末已经掉到约160,000台中继系统，与他于2007年7月预测的约1,500,000台系统相比较[3]。不过，恩来注明：僵尸网络的组合时常变动，而且它仍旧主动的自我防御外来的攻击与监测。“如果你是个研究员并且你造访流氓软件宿主网页太多次...那么一个自动进程将自动对你投射拒绝访问攻击。”他说道，并且随后补充了他的研究使得风暴僵尸网络攻击圣地牙哥加利福尼亚大学，造成该校部分的网络瘫痪无法上网[57]。

计算机保全公司McAfee表示风暴蠕虫很可能是未来攻击的基础[58]。之前发现Mydoom蠕虫的著名保全专家克雷格·雪姆加 (Craig Schmugar) 称风暴僵尸网络是趋势设立者，其行为引领了罪犯们利用更多类似的策略[59]。这类僵尸网络的衍申之一被赋予“垃圾邮件帮派名人”的称号，肇因于他们使用与风暴僵尸网络控制者类似的技术工具。然而，不像过去风暴操作者使用来勾引牺牲品的复杂社交工程那样，垃圾邮件帮派名人承散播影视名人 (如安吉丽娜·朱莉与布兰妮·斯皮尔斯) 的裸照之便[60]。思科系统保全专家在报告中指出他们相信风暴僵尸网络在2008年依然是个严重威胁，并且说他们预测其规模仍保持在“上百万台”[61]。

于2008年年初，在其黑帽经济体系下运作的风暴僵尸网络也碰到了其商业上的竞争对手：努哈赤 (Nugache) 组织，它是另一个类似的僵尸网络首度于2006年被鉴识出来。报告指出介于两者僵尸网络操作者为其电子邮件递送服务销路的价格战可能暗潮汹涌[62]。随着介于2007-2008年圣诞节与元旦假期间，德国 Honeynet 计划研究者报告指出风暴僵尸网络可能会在该期间最多扩展其 20% 的规模[63]。MessageLabs Intelligence于2008年3月的报告预测所有互联网上的垃圾电子邮件总数超过20%来自于风暴僵尸网络[64]。