(上海企業(yè)網(wǎng)站建設(shè))上周����,安全專家突然襲擊斷開了Troyak的互聯(lián)網(wǎng)連接�,Troyak是一家東歐ISP,它是全球電腦犯罪活動的老巢�。在過去的7天中,據(jù)傳安全社區(qū)大量的不知名人員開始與Troyak玩起了打地鼠游戲��,試圖尋找下一個(gè)合法ISP作為跳板�����,重新連入互聯(lián)網(wǎng)�。(上海網(wǎng)站建設(shè))
安全專家說已經(jīng)預(yù)料到Troyak會采取應(yīng)對措施,實(shí)際上它是一個(gè)精心構(gòu)建���,具有循環(huán)備份和冗余網(wǎng)絡(luò)的網(wǎng)絡(luò)運(yùn)營商��,所有這些都是為了保持龐大的有組織的網(wǎng)絡(luò)犯罪�����,因此把Triyak的網(wǎng)絡(luò)直接斷掉是對網(wǎng)絡(luò)犯罪的致命打擊����。
但安全公司RSA相信Troyak是清白的�����,因?yàn)門royak僅僅是包圍8個(gè)所謂“防彈網(wǎng)絡(luò)”老巢的5個(gè)上游ISP之一����,RSA說這8個(gè)防彈網(wǎng)絡(luò)托管了互聯(lián)網(wǎng)上多的惡意軟件,包括銀行密碼竊取木馬����,如Zeus和Gozi,以及由這些木馬和臭名昭著的俄羅斯釣魚團(tuán)隊(duì)RockPhish竊取到的個(gè)人信息和財(cái)務(wù)數(shù)據(jù)�。(企業(yè)網(wǎng)站建設(shè))
圖1安全專家繪制的網(wǎng)絡(luò)犯罪關(guān)系圖
根據(jù)RSA前幾天發(fā)布的一份報(bào)告稱,這8個(gè)防彈網(wǎng)絡(luò)直接連接到Troyak和其它4個(gè)上游ISP��,形成了一個(gè)合法外衣包圍中的惡意網(wǎng)絡(luò)�,如圖1所示,這種包圍結(jié)構(gòu)掩蓋了真正的惡意軟件托管艦隊(duì)��,為惡意軟件服務(wù)器正常運(yùn)行提供了可靠的保證�。此外,Troyak和其它4個(gè)上游ISP(上圖中橙色部分)彼此之間都有聯(lián)系���,這4個(gè)上游ISP都連接到一到多個(gè)合法ISP(上圖中綠圈)�����,這些合法ISP是可以連接到全球互聯(lián)網(wǎng)的�,這樣隱藏在后面的8大防彈網(wǎng)絡(luò)可以說非常隱蔽。(上海網(wǎng)站推廣)
事實(shí)上�����,RSA說Troyak初在3月9日就被斷網(wǎng)了�����,因?yàn)閹讉(gè)區(qū)域ISP(圖中左側(cè)綠色部分)同時(shí)拒絕為其提供服務(wù)��,據(jù)推測��,這些ISP切斷Troyak的網(wǎng)絡(luò)是迫于安全研究人員不斷施加的壓力���,安全研究人員列舉了Troyak支持網(wǎng)絡(luò)犯罪的大量事實(shí)����。
現(xiàn)在的問題是�����,其它4個(gè)以Troyak為中心的上游ISP也都有到合法ISP的連接����,因此主要依賴于Troyak的整個(gè)防彈網(wǎng)絡(luò)主機(jī)現(xiàn)在必須轉(zhuǎn)換到其它上游ISP。在上圖中綠色的圈表示區(qū)域ISP�����,RSA稱他們?yōu)楹戏ǖ腎SP���,但反垃圾郵件組織Spamhaus在周二的垃圾郵件黑名單中列出了Troyak的主要區(qū)域ISP——位于俄羅斯的NLINE��,主要原因是NLINE多次縱容垃圾郵件犯罪團(tuán)伙�。
RSA在Troyak斷網(wǎng)事件報(bào)告中說“重要的是要弄明白,雖然這個(gè)關(guān)系圖中的部分連接可能會被斷開�����,但這些防彈網(wǎng)絡(luò)通過其它上游供應(yīng)商仍然能夠恢復(fù)活力����,大多數(shù)都可通過備用連接又重新上線����,觀察上周發(fā)生的事情就不難理解���,這種冗余機(jī)制是保證惡意軟件服務(wù)器總能逃過一劫的關(guān)鍵”��。(上海網(wǎng)絡(luò)優(yōu)化)
RSA并不是唯一繪制惡意ISP關(guān)系圖的公司���,在近一篇由三名大學(xué)研究人員發(fā)表的論文中�����,研究人員使用來自多個(gè)垃圾郵件���,惡意軟件�,機(jī)器人和釣魚黑名單的數(shù)據(jù)來確定惡意網(wǎng)絡(luò)�����,來自橡樹嶺國家實(shí)驗(yàn)室和印第安納大學(xué)的研究人員確定了多個(gè)可能有問題的ISP��,特別是Ukraine和Turkey�,它們過渡容忍來自它們網(wǎng)絡(luò)的犯罪活動��,過渡放縱就等于認(rèn)同和支持�,因此這些ISP就被定性為惡意ISP����。
研究人員在試圖找出ISP中的惡意網(wǎng)絡(luò)時(shí),主要關(guān)注那些至少有三個(gè)合作伙伴網(wǎng)絡(luò)的ISP��,他們發(fā)現(xiàn)有22個(gè)網(wǎng)絡(luò)中所有客戶全都是惡意用戶���,另外有194個(gè)網(wǎng)絡(luò)���,其中至少有50%的客戶應(yīng)歸于惡意用戶�����。
隱藏在背后的網(wǎng)絡(luò)犯罪集團(tuán)一定不會死心���,即使Troyak倒下了���,還會催生更多的Troyak出現(xiàn),網(wǎng)絡(luò)安全人員的責(zé)任任重而道遠(yuǎn)!(上海做網(wǎng)站)
.png)
滬公網(wǎng)安備 31011402007386號