本周最大的网络新闻 有一个非常吸引人的标题:超过四百万台个人电脑感染了一种名为 TDL-4 的恶意程序,这个僵尸网络非常隐蔽、难以追踪、难以检测和清除,以至于被认为是“几乎坚不可摧”。这句话出自卡巴斯基实验室(一家网络安全公司和杀毒软件制造商)的安全研究员 Sergey Golovanov 和 Igor Soumenkov。这是一个可怕的想法:一个如此复杂的僵尸网络,以至于无法被检测和拆除。但这是真的吗?
毫无疑问,Golovanov 和 Soumenkov 对他们的领域非常了解,他们对新兴的 TDL-4 威胁进行的 分析 非常透彻。但是,一个恶意程序真的能做到坚不可摧吗?
什么是 TDL-4?
TDL-4 是 TDL 恶意软件的第四代(卡巴斯基也将该系列识别为 TDSS),Golovanov 和 Soumenkov 称其为“当今最复杂的威胁”。在这点上,我们很可能同意他们的看法。TDL-4 包含了各种巧妙/可怕的技巧,可以将自己深藏在硬盘驱动器中,逃避大多数病毒扫描软件以及更主动的检测方法。它使用加密代码进行通信,并包含一个强大的 Rootkit 组件——Rootkit 是一种允许操作员访问计算机的程序,同时还能隐藏自身,不被用户、网络管理员和自动化安全措施发现。
TDL-4 本身不是一个僵尸网络,但它很恶意,因为它促成了僵尸网络的创建——一个被感染计算机的网络,可以协同执行诸如分布式拒绝服务攻击(曾被用来攻击包括 The Pirate Bay、Twitter、Facebook 和 MasterCard.com 在内的许多主要服务器)、安装广告软件和间谍软件,或发送垃圾邮件等任务。它目前控制着 450 万台机器,并且数量还在增加。感染文件通常潜伏在成人网站、盗版媒体中心以及视频和媒体存储网站附近。
是什么让它“坚不可摧”?
Golovanov 和 Soumenkov 对此进行了很好的总结:“恶意软件作者扩展了程序功能,改变了僵尸程序与僵尸网络命令和控制服务器之间通信协议的加密算法,并试图确保即使在僵尸网络控制中心被关闭的情况下,他们也能访问被感染的计算机。TDL 的所有者实际上是在尝试创建一个‘坚不可摧’的僵尸网络,以抵御攻击、竞争对手和杀毒公司。”
首先,也是最重要的:位置。一旦进入,TDL-4 就会驻留在主引导记录 (MBR) 中,这意味着它可以在计算机实际启动之前运行。MBR 也很少被标准的杀毒扫描程序检查,这使得 TDL 具有了额外的隐形性。
然后,TDL-4 会做一些非常聪明的事情:它会运行自己的杀毒程序。该软件包含代码,可以清除大约 20 种最常见的恶意程序,将受感染的机器清理掉可能引起用户注意或导致管理员仔细检查的日常恶意软件。然后,它可以下载任何它想要的恶意软件来替换被删除的程序。此版本的 TDL-4 还添加了模块,例如一个“欺诈性地操纵广告系统和搜索引擎”的模块,以及另一个在被感染的计算机上建立代理服务器的模块,这些模块可用于促进和隐藏其他恶意的网络活动。
但 TDL-4 的坚不可摧性关键在于它在僵尸程序之间通信的方式。这里有几个因素在起作用。首先,也是也许最核心的是一个巧妙的算法,用于加密僵尸程序与僵尸网络命令之间的通信协议。这使得监控命令服务器和被感染机器之间的流量几乎毫无意义。
但是,即使流量被加密,也不能追溯这些命令到源头来抓住坏人吗?TDL-4 在这方面也有一个绝招,这次是采用了名为 Kad 的公共点对点文件共享网络。TDL-4 的创建者可以通过这个 P2P 网络向他们的僵尸机器发出几个命令。这一点至关重要,因为这意味着,即使 TDL-4 的命令服务器被关闭,该程序的创建者仍然可以访问所有被感染的机器。本质上,命令服务器根本不是必需的。从源头销毁 TDL-4 基本上是不可能的,因为源头分布在僵尸网络中。真的没有一个单一的源头。
但它真的“坚不可摧”吗?
今天,Roger Grimes 在 Infoworld 上撰文,他 提出了一个合理的观点:“作为一名在恶意软件战争中拥有 24 年经验的资深人士,我可以肯定地告诉你,还没有出现一种威胁是反恶意软件行业和操作系统供应商未能成功应对的。可能需要几个月或几年的时间才能消灭某个东西,但最终正义会占上风。”
Grimes 的观点是冷静的。曾经,Conficker 威胁要摧毁我们所知的整个互联网,但今天我们仍然可以在网络上悠闲地享受我们的日常乐趣。TDL-4 最有可能在未来几年继续困扰和折磨安全专家。但这一切都会过去的。
但这并不意味着 Golovanov 和 Soumenkov 在称 TDL-4 为“坚不可摧”时一定是错的。也许它标题中最值得注意的部分是“4”。它只是一个恶意多代家族中的一个坏种子。
他们写道:“我们有理由相信 TDSS 将继续演变。” “TDL-4 代码显示出积极的开发——一个针对 64 位系统的 Rootkit,恶意软件在操作系统启动前运行,使用了 Stuxnet 工具库中的漏洞利用,P2P 技术,它自己的‘杀毒软件’等等——这些都使 TDSS 牢固地跻身于技术最先进、分析最复杂的恶意软件之列。”
也就是说,直到 TDL-5 出现。
