在微软公司总部有这样一群人:他们以前是警察、法官、检察官或是一些顶尖的技术高手,他们组成了网络犯罪调查部,他们的任务是打击网络黑客。当然,他们不是单打独斗,微软公司内部还有其他部门配合他们的行动,同时也与业界、学术界以及各国政府合作,才能够完成这个复杂的过程。
一年前,微软通过“B49”行动,关闭了Waledac垃圾邮件僵尸网络。最近,微软又通过“B107”行动,联合多国政府进行的一次黑客围剿。这次行动打击的是全球最大的Rustock垃圾邮件僵尸网络。
歼灭Rustock僵尸网络
僵尸网络被认为是网络罪犯用于攻击网络的常用工具。它利用受感染的个人电脑发送垃圾邮件,向网站实施拒绝服务攻击,传播恶意代码,造成网络广告点击欺诈等等。Rustock正是这样一个网络。
据微软网络犯罪调查部研究显示,全球有将近一百万台被Rustock恶意软件感染的个人电脑。这些电脑受到操纵僵尸网络的个人或组织的远程控制,而且通常电脑用户并不知道其电脑已经被劫持。僵尸牧人通过多种方式恶意感染电脑,比如当用户浏览潜藏恶意代码的网站,点击恶意广告,或者打开中毒邮件的附件。僵尸牧人通常隐蔽的植入恶意代码,以至于用户通常不知道个人电脑已经被感染。
被Rustock恶意软件控制的电脑被称为“肉鸡”。一台受Rustock感染的“肉鸡”在45分钟内可发送7500封垃圾邮件,即每天24万封垃圾邮件。通过这个僵尸网络一天可以发送300亿封以上垃圾邮件,内容包括虚假抽奖信息,以及假冒的,甚至是危险的处方药物,给公众带来极大的健康危害。
由于垃圾邮件滋生了假冒药品市场,辉瑞制药有限公司成为了本案的申诉人之一。辉瑞制药在声明中提供了证据,证明由于假冒药品通常在不安全的环境下生产,垃圾邮件中所推销的药品通常含有错误的活性成分和剂量,有时甚至含有给人体健康带来更大威胁的物质。假冒药品还通常被杀虫剂,铅基公路油漆和地板蜡等物质污染。
除了推销危险的甚至违法的产品,垃圾邮件更是对健康的互联网环境的极大威胁。虽然Rustock的主要功能是发送垃圾邮件,但是如此大规模的僵尸网络可以被用于任何种类的网络犯罪。僵尸网络非常强大,通常只需一个指令就可以转变为垃圾邮件程序和拒绝服务攻击程序。
“通过一段时间的监测和追查,微软公司在美国向法院提起诉讼案,要求法院做出裁决,把所有向僵尸网络发送这种命令、控制信息的这个网络服务器都给关闭。”微软大中华区首席法律顾问关挺立告诉记者,在美国的服务器关闭了之后,微软发现还有一千多个以.CN结尾的域名被内嵌到了恶意代码内部。虽然关闭了在美国的网络服务器,但这些.CN域名能够使僵尸网络死灰复燃。微软把所有.CN域名的详细信息交给了中国国家计算机网络应急技术处理协调中心(以下简称 CNCERT),由他们配合去执行相关的关闭工作。“全球通过Rustock僵尸网络所发出垃圾邮件的数量骤然降低,我们认为这个打击工作非常成功。”
只有合作才能实现围剿
“合作是成功的关键。我们深知没有任何一家公司或一个组织能够单独完成这项重任。这需要业界、学术界、执法部门和各国政府的多方合作。”关挺立告诉记者这是微软在打击僵尸网络的过程中所获得的最宝贵的经验,在B49和B107行动不仅需要将技术与法律的手段相结合,更需要各个机构和政府的配合,“我们目前正在与全球的互联网服务商和网络安全应急机构合作以帮助用户清除恶意代码。如果没有公共机构和个人用户的多方合作,微软不可能成功的关闭僵尸网络。”
以B107行动为例,在关闭Rustock僵尸网络过程中,经过微软网络犯罪调查部及合作伙伴进行了一个月的调查,然后向美国华盛顿西区地方法院的成功辩护,以及联邦法院执行官对多个地点指挥和控制服务器的联合突击。Rustock有更加复杂的结构,因为它利用硬编码的网际网络通讯协定而非域名和点对点指挥和控制服务器来控制僵尸网络。为了保证恶意代码不会迅速转移到新的网络基础结构,微软获得法院允许与联邦法院执行官合作在现场提取证据,并且在某些情况下,从互联网托管服务商获取被感染服务器用于分析。其中,微软截取了在美国7个城市运营的5个互联网托管服务商的服务器,它们分别位于堪萨斯城,斯克兰顿,丹佛,达拉斯,芝加哥,西雅图,和哥伦布市。通过与上游供应商的合作,微软最终成功阻断并禁用了控制僵尸网络的IP地址。
在关闭中国相关的.CN服务器过程中,CNCERT起到了关键作用。谈及这次打击行动中的分工,CNCERT运行部主任周勇林在接受中央电视台采访时表示:微软分析了僵尸网络的情况,把掌握到的僵尸网络用到的域名和控制服务器信息告诉我们,然后我们做一个数据基础的核对,确认这个情况确实是存在的,而且还将是活跃的。核对之后,我们负责在中国的工作体系,利用我们自己的机制去把在中国用到的域名通过服务器停掉。微软作为一个企业,它肯定没有这个职能。他认为微软的长处在于技术,这样的公司可以为执法机关提供很有价值的技术信息。
“我们觉得要解决打击黑客的方案应该分为三部分:一是IT行业本身应该采取行动,就像微软这样的企业应该站出来采取行动。二是政府应该采取行动,相关的管理部门、执法部门应该是去追踪锁定,要去捕获,并且要惩罚这样的电脑数字犯罪人员。三是终端用户本身应该采取一些防范的措施,防止自己的利益受到侵害。”关挺立总结到。