微软与僵尸网络的秘密战争
王大发财 @ 2014.01.20 , 12:07 下午2013年8月,400万台受感染的计算机开机,等待主人下达命令。
[-]
Sefnit是一种让感染病毒的电脑挖比特币的恶意软件。一旦中毒电脑开机运行,远在乌克兰和以色列的黑客Scorpion和Dekadent就能操控它们。中毒电脑会下载匿名软件Tor与两名黑客通过加密通道沟通。僵尸网络将Tor的威力如此淋漓尽致地运用还是头一次。
黑客们用Windows系统牟利的行为惹毛了微软,逼微软使出神秘绝招:大规模删除这些恶意软件,却几乎没有用户察觉到。
一夜之间,匿名网络的用户从100万猛增到550万,Tor的开发者们都感到吃惊。
[-]
全球僵尸网络安全图,绿色代表安全,红色代表不安全。
“如果当时黑客不是为了比特币,而是真格发起攻击,如果Tor网络已经成为僵尸网络攻击的目标,我想后果会非常致命。”Tor的开发者Jacob Appelbaum在2013年12月举办的混沌通信大会上说。
一方面,Sefnit用Tor传播是个错误。Tor用户激增让Botnet僵尸网络变成人们热议的话题,恰恰违背了僵尸网络隐蔽的前提。Sefnit从2009年起就在Tor网络间传播,有许多版本,尤其针对Windows用户。这很快引起了微软注意。
微软发起反击,远程删除了尽可能多的Windows系统电脑上的Sefnit恶意软件和其利用的Tor客户端。
“微软在这方面(远程控制)很有实力,”Applebaum提高了嗓门,话里带话地笑了笑,“如果你想用Windows平台匿名上网,你们都是聪明人,都懂的:“不明智的做法”。”
微软没有正面回答为什么要连Tor一起卸载。但是就在我们问过这个问题后不久,微软的Geoff McDonald就此问题发布了一篇博文。在博文里McDonald说如果在用户电脑里保留Tor客户端会受到其他受感染电脑的严重威胁。
微软目前认定最新版Tor是安全的,尽管如此,Sefnit此前下载的老版本Tor会给受感染电脑带来更多的安全问题,这一切归功于Tor长期存在的高风险漏洞。
微软的努力起效了
到2013年10月,由于卸载了Sefnit客户端,Tor网络的用户数量减少了200万。微软是怎么漂亮又不动声色地处理掉如此数量庞大的恶意客户端没有人知道,就连Tor的开发者们也搞不懂。
这期间微软只问过Tor的开发团队一个问题:“又没有可能普通用户在使用微软安装程序的同时也会将Tor安装在一些目录路径里并自动执行?”
“我们回答微软说这极为极为不可能。”Tor执行理事Andrew Lewman告诉Daily Dot。
这次信息交换表明微软至少发现了Sefnit程序的某个独特性。Sefnit会把Tor装在某个指定路径,人类不太可能安装在这种路径下。微软也是看准了这个位置才能卸载几百万套Tor客户端。
与Jacob Appelbaum警告Windows用户隐私性不高的态度不同,Lewman认为微软通过用户自行安装的Microsoft Security Essentials安全软件进行远程卸载。
“我不清楚Jacob和Roger(Tor工程负责人)是否知道现在正在发生的事,”他说,“我想他们自己也不会用微软的产品。我自己倒是保留了几种Windows操作系统以方便解答用户的提问。Microsoft Security Essentials和类似产品都不过是老技术。”
微软有能力进入安装包并移除微软认定危险的内容,这种能力绝不容轻视。Lewman却认为没什么好担心。
“听上去挺吓人。”Lewman说,“用户对大多数的微软干预行为还是赞同的,只要能够确保操作系统安全。”
微软可以进入你的电脑删除其中的程序。但是Lewman又说只要用户先同意就没什么,因为微软一直都是这样的。
PREV : Darkside-50:寻找暗物质的新计划
NEXT : 有独立域名后缀的小国家/地区