万物互联时代,僵尸网络正在经历一次重大的进化,从PC向手机等移动设备甚至智能设备蔓延。
今年年初,安全牛曾经报道史上首个物联网僵尸网络,这也是信息安全界首次记录到有智能电器等物联网终端设备参与的僵尸网络攻击。
今年5月份,安全牛在Target数据泄露调查,揭秘POS恶意软件一文中,曾介绍美国的安全公司IntelCrawler发现了一个由被入侵的商家POS机组成的一个庞大的僵尸网络。该僵尸网络包含涉及36个国家的1500个受感染POS和其他零售系统。
在物联网僵尸网络中,以Android智能手机为主要载体的僵尸网络发展最为迅猛,2013年年底,安全公司FireEye发现了一个在韩国流行但指令控制中心位于中国的Android僵尸网络MisoSMS,是当时发现的最大移动僵尸网络。
过去,安全专家们认为物联网僵尸网络相比PC僵尸网络更加简单,威胁也较小。
但是最近,移动安全公司Lookout发现了迄今最“先进”的移动僵尸网络——代号Notcompatible,功能堪比PC僵尸网络,防御能力甚至更强。
NotCompatible移动僵尸网络可以把手机和平板电脑等移动设备变成TCP代理,可以用来从事发送垃圾邮件、点击欺诈、暴力破解密码(主要针对Wordpress)、购物欺诈等多种网络犯罪活动。
据Lookout透露,NotCompatible在技术上的的先进性主要体现后台,安全社区迄今尚未找到逆向工程或者捣毁这个僵尸网络的方法。NotCompatible也在安全界的围剿下毫发未损,迄今已活跃了两年之久。
NotCompatible_网络运营架构
NotCompatible的架构者显然是个顶尖技术高手,采用了多种技术来提升NotCompatible的弹性和安全性,包括命令控制服务器采用冗余架构,分布于全球多个地点,能够充分“吸收”攻击破坏力,并通过中央网关服务器对所有僵尸节点进行认证,防范执法人员或者安全公司人员对其通讯进行监听。而且,即使你干掉了一个受感染节点的命令控制服务器,这个受感染的僵尸网络节点还可以通过P2P技术与相邻的节点通讯,继续繁殖扩张。
由于手机是游走于个人和企业安全边界内外的移动设备,Lookout公司已经发现数百家企业网络中都出现了NotCompatible的流量,这意味着NotCompatible的僵尸网络控制者将能从企业网络内部发起各种攻击,而且由于NotCompatible的“商业模式”是收取僵尸网络租用费,这意味着任何人都有可能利用这个僵尸网络从事网络犯罪活动,当然也包括从企业网络内部窃取信息。
NotCompatible移动僵尸网络的崛起对于企业信息安全人士来说将是一个需要重视的持续增长的威胁。