網路資訊/網路犯罪時代 瞭解殭屍網路運作
作/劉乙
儘管大多數的人並不全然瞭解殭屍網路(Botnet),但這個名詞近年來卻不斷地出現,甚至在全球造成重大損失。
通常Botnet指的是一羣遭到惡意軟體感染的電腦,並因此被遠端的主機所操控,用來執行一些不當的網路活動。
一旦遭到感染,電腦就變成沒有意識的殭屍,只能聽從主人的吩咐。
目前每天有數以千計這樣的殭屍網路在運作,每臺遭感染的電腦都在受害者不知情的狀況下,爲主人執行各種非法活動。
過去幾年來,著名的Botnet包括:
2005年的Torpig,它當時被認爲是有史以來最先進的犯罪軟體,專門用來竊取網路銀行和信用卡的資料。
2006年的Virut,當時可能感染高達50萬臺電腦,幾乎可以用來做任何事情,例如分散式阻斷攻擊(DDoS)、發送垃圾郵件、金融詐騙和資料竊取等等。
另外還有2007年發現的Zeus,它能暗中監控受害者的電腦,伺機盜取銀行帳號。
其它知名的Conficker、Grum、Lethic和Mariposa;2009年的SpyEye;2010年的Waledac;2011年的ZeroAccess,以及2012年的Smoke。
Botnet如何運作
殭屍網路運作的第1步,是利用各種不同的殭屍病毒(bot),來讓許多電腦遭受感染。一般常見的有3種方法:下載、電子郵件和盜版軟體。
第1種藉由下載的方法,通常是因爲使用者在電腦未更新或未安裝防毒軟體的情況下,不小心造訪了暗藏病毒的惡意網站,因而下載了bot,成爲殭屍網路的一員。
第2種方法是透過電子郵件,儘管看似非常傳統,但卻是最常見且最有效的。
因爲病毒郵件時常來自於認識的熟人,使用者會因信任而失去戒心,當然,寄發病毒郵件的電腦,大多也已經中了毒。
第3種則是利用盜版軟體,惡意軟體的設計者,經常會用各種方式把惡意程式碼夾藏在下載的盜版軟體中,一旦使用者開啓執行檔,它們就會偷偷地自動執行。
一旦bot成功安裝後,便代表電腦已遭感染。通常這些惡意軟體會安裝一個所謂的後門(backdoor),即一個能讓bot幕後操控者可以用來通訊、控管,並進一步安裝其它軟體的程式。這時,就算受害者再安裝最新的防毒軟體,也很難關閉和封鎖這個後門程式。
bot成功自我安裝之後,通常會試着與它的操控者連繫、報到。遭感染的電腦會發送大量的資訊給操控者,包括遭感染電腦的IP位址(協助操控者瞭解遭感染者的所在位置)、電腦登入名稱、作業系統、已安裝哪些更新程式,以及其它更多的資訊。
惡意軟體bot和操控者連繫上之後,會暗中執行許多活動。操控者可以發佈新版的軟體更新來安裝執行,也可要求bot留意使用者登入網路銀行的程序。整個Botnet也會執行其它命令,例如:記錄線上活動、發送垃圾郵件、參與阻斷式攻擊,以及在受害者系統上再安裝其它的惡意軟體。
事實上,目前殭屍網路擁有者彼此之間的競爭也很激烈,甚至會撰寫程式來搜尋遭感染的電腦,查看是否也被其它的殭屍網路所控制。一旦發現之後,會將其它的惡意軟體移除,讓該電腦只受控於自己的殭屍網路。
如何判斷電腦已受感染
並沒有一個簡單的方法可以判斷電腦是否遭到感染,不過通常遭到感染的電腦會有以下的症狀:
1.系統比從前跑得更慢。
6.從網路下載的某個程式圖示,突然消失不見。
8.網路銀行突然詢問以前從不需要的個人資料。
當電腦時常出現以上症狀,而且符合的症狀越多,感染病毒的可能性也就越大。
當電腦遭到感染,便表示系統已被控制成爲殭屍網路的一員,並且偷偷地在執行其它的工作。網路罪犯常利用殭屍網路來獲利,方法包括DDoS、垃圾郵件、金融詐欺、SEO下毒、點擊詐欺、商業間諜,甚至是用來挖礦比特幣(Bitcoin)等等。