陳 俊
在這1000多萬(wàn)個(gè)被Conficker感染的IP地址所屬?lài)?guó)家和地區(qū)排名中,排在前四位的居然是中國(guó)、巴西、俄羅斯以及印度——恰好是未來(lái)最有發(fā)展?jié)摿Φ摹敖鸫u四國(guó)”。
特殊的日子總會(huì)有特別的故事,互聯(lián)網(wǎng)世界最富懸念的驚爆大戲,也許會(huì)在2009年4月1日這一天拉開(kāi)大幕。
故事的主角是一個(gè)名為“Conficker”、大小只有數(shù)百K字節(jié)的電腦蠕蟲(chóng)病毒。可別小看了它——通過(guò)感染全球1500萬(wàn)臺(tái)以上的電腦“僵尸網(wǎng)絡(luò)”,它所能駕馭的能量已經(jīng)堪稱(chēng)網(wǎng)絡(luò)世界的“核武”。問(wèn)題的關(guān)鍵在于,它的主人、正被微軟以25萬(wàn)美元懸賞的幕后黑客,究竟會(huì)否在4月1日這一天將其引爆,掀起災(zāi)難性的網(wǎng)絡(luò)攻擊?還是僅僅只是為了跟全球互聯(lián)網(wǎng)開(kāi)上一個(gè)超級(jí)愚人節(jié)玩笑?謎底正在揭開(kāi)。
初露猙獰
很多人聽(tīng)說(shuō)Conficker蠕蟲(chóng)病毒,是在法國(guó)海軍戰(zhàn)機(jī)停飛的事故之后——今年1月,一名法國(guó)士兵在家中使用U盤(pán)感染了Conficker,蠕蟲(chóng)被帶回海軍內(nèi)網(wǎng)后大面積擴(kuò)散,軍方電腦數(shù)據(jù)庫(kù)也未能幸免,以至于“颶風(fēng)”戰(zhàn)斗機(jī)飛行員無(wú)法下載飛行計(jì)劃。除法國(guó)海軍內(nèi)網(wǎng)外,英國(guó)、德國(guó)等國(guó)部分軍事系統(tǒng)相繼爆出Conficker入侵的消息,英國(guó)議會(huì)電腦網(wǎng)絡(luò)近日也宣告淪陷。
“這是一種利用局域網(wǎng)和可插入U(xiǎn)SB端口的任何設(shè)備快速傳播的電腦蠕蟲(chóng),黑客可以使用Conficker蠕蟲(chóng)攻擊竊取個(gè)人和財(cái)務(wù)數(shù)據(jù)?!盋NN在今年1月的新聞報(bào)道同時(shí)指出:“現(xiàn)階段來(lái)說(shuō),該蠕蟲(chóng)病毒帶來(lái)的傷害還不算非常嚴(yán)重,因?yàn)榈侥壳盀橹梗](méi)有試圖竊取個(gè)人或信用卡資料?!?/p>
這些正是最令研究人員困惑的問(wèn)題,Conficker到底想要什么?長(zhǎng)期以來(lái),蠕蟲(chóng)、木馬、后門(mén)程序、流氓插件等等惡意程序一直被人們視為“洪水猛獸”,因?yàn)樗麄円词峭蹈`用戶(hù)電腦隱私和數(shù)據(jù)的“賊”,要么是拖垮受害者電腦系統(tǒng)的“無(wú)賴(lài)”,或者就是瘋狂騷擾用戶(hù)的“流氓”。然而,Conficker出世半年來(lái),一直都只是通過(guò)電腦系統(tǒng)漏洞默默地傳播自己——一方面屏蔽微軟的安全更新和安全廠(chǎng)商網(wǎng)站,讓中招用戶(hù)無(wú)法清除;另一方面還幫助電腦系統(tǒng)阻止其他木馬病毒入侵,仿佛在扮演一種“俠盜”的角色,從不傷害“手無(wú)寸鐵”的無(wú)辜網(wǎng)民,甚至被微軟中國(guó)安全研究人員“大牛蛙”稱(chēng)為“模范蠕蟲(chóng)”。
是“梁山好漢”還是“王莽謙恭未篡時(shí)”?直到Conficker的第三個(gè)變種Conficker.C,它才突然露出了猙獰的獠牙。
3月19日,國(guó)際知名安全廠(chǎng)商冠群金辰公司率先宣布,從4月1日,也就是西方愚人節(jié)這一天起,Conficker.C蠕蟲(chóng)病毒將向全球網(wǎng)絡(luò)發(fā)起大規(guī)模攻擊。趨勢(shì)科技(Trend Micro)則向用戶(hù)緊急發(fā)布預(yù)警郵件,宣稱(chēng)WORM_DOWNAD.KK(趨勢(shì)科技對(duì)Conficker.C變種的命名)將在愚人節(jié)當(dāng)天自我修改程序,以進(jìn)行下一波的網(wǎng)絡(luò)攻擊。幾乎同一時(shí)間,國(guó)內(nèi)最大的網(wǎng)絡(luò)安全廠(chǎng)商360安全中心也發(fā)布預(yù)警稱(chēng),通過(guò)分析,安全專(zhuān)家發(fā)現(xiàn)Conficker.C正在它所感染的電腦中進(jìn)行休眠的死循環(huán),一旦系統(tǒng)時(shí)間到2009年4月1日之后,它就會(huì)清醒過(guò)來(lái),在一系列浮點(diǎn)運(yùn)算后向上百家預(yù)先指定的網(wǎng)站發(fā)送數(shù)據(jù)包,雅虎美國(guó)、迪斯尼、Facebook、Youtube等國(guó)際知名網(wǎng)站都成為其攻擊目標(biāo),百度、騰訊搜搜、開(kāi)心網(wǎng)、天涯等國(guó)內(nèi)網(wǎng)站也赫然在列。
“這將是一場(chǎng)被精密計(jì)劃和組織的大型網(wǎng)絡(luò)攻擊,它所設(shè)計(jì)的協(xié)同作戰(zhàn)模式無(wú)異于一場(chǎng)正規(guī)的軍事行動(dòng)。”從國(guó)際安全研究組織MTC(Malware Threat Center)對(duì)于Conficker的研究報(bào)告中可以看到,“Conficker.C具備了HTTP時(shí)間查詢(xún)功能,就像警匪片中的戰(zhàn)前‘對(duì)表一樣,一切攻擊行為都在被其作者精確控制?!?/p>
新“恐怖主義”
正如一場(chǎng)好戲中會(huì)不斷上演矛盾沖突一般,另一些安全機(jī)構(gòu)則對(duì)于Conficker的爆發(fā)持懷疑態(tài)度。安全公司Sophos的研究人員表示,大規(guī)模的網(wǎng)絡(luò)攻擊并不會(huì)如期出現(xiàn),Conficker蠕蟲(chóng)的作者要造成重大的網(wǎng)絡(luò)故障是沒(méi)有意義的,因?yàn)橐坏┗ヂ?lián)網(wǎng)通訊被破壞,他們也就賺不到任何錢(qián)。
賽門(mén)鐵克安全響應(yīng)中心研究人員的態(tài)度則搖擺不定,他們證實(shí)了Conficker.C中威脅代碼的存在,但并不確信4月1日會(huì)發(fā)生什么?!斑@或許又是千年蟲(chóng)未能實(shí)踐可怕預(yù)言的重演?!毖芯咳藛T猜測(cè)道。
另一項(xiàng)傳聞則更令人欣慰,一個(gè)由安全研究人員、技術(shù)公司、加入ICANN的域名注冊(cè)公司組成的國(guó)際聯(lián)盟披露,他們已經(jīng)采取了前所未有的措施切斷了Conficker與操控它的服務(wù)器之間的聯(lián)系,中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心便是該聯(lián)盟成員,有消息稱(chēng)“中國(guó)和美國(guó)合作挫敗了一次全球范圍的嚴(yán)重的惡意攻擊”。然而,無(wú)論是中國(guó)互聯(lián)網(wǎng)信息中心,還是ICANN抑或是微軟,都并未對(duì)傳言發(fā)表評(píng)論。
“唯一可以確定的是,Conficker蠕蟲(chóng)黑客具有非常高深的互聯(lián)網(wǎng)編程技術(shù)、先進(jìn)的密碼技能、定制雙層編碼封裝和編碼模糊技術(shù),以及Windows與安全產(chǎn)品的深度知識(shí)?!?60安全專(zhuān)家石曉虹博士分析說(shuō):“Conficker緊跟時(shí)代潮流幾乎應(yīng)用了當(dāng)前最前沿的黑客技術(shù)。比如,當(dāng)前最先進(jìn)的加密算法是MD6算法,而就在該算法公布不久,Conficker的B變種中就使用了該算法。一開(kāi)始MD6算法本身還存在缺陷,導(dǎo)致黑客無(wú)法藉此控制整個(gè)Conficker僵尸網(wǎng)絡(luò),但這個(gè)聰明的作者顯然也很清楚這個(gè)缺陷,在其C變種版里很快就更新到了最新的算法?!?/p>
另?yè)?jù)MTC發(fā)布的最新數(shù)據(jù),Conficker感染電腦所占據(jù)的IP地址在全球共計(jì)10512451個(gè),其中包括1022062個(gè)局域網(wǎng)IP,也就是說(shuō),Conficker幕后黑手控制的“僵尸”電腦保守估計(jì)也在1500萬(wàn)臺(tái)以上。
2002年,黑客僅控制百萬(wàn)級(jí)的僵尸網(wǎng)絡(luò)發(fā)動(dòng)DDOS攻擊,就把位于美國(guó)的DNS根服務(wù)器徹底攻癱,從而導(dǎo)致谷歌、微軟、IBM等全球大網(wǎng)站癱瘓多時(shí)。這意味著,如果Conficker背后的黑客樂(lè)意,他可以利用這上千萬(wàn)臺(tái)電腦做任何事——無(wú)論是攻癱互聯(lián)網(wǎng)上的任何服務(wù)器,還是讓垃圾郵件制造者發(fā)送數(shù)十億個(gè)垃圾郵件信息。
這個(gè)判斷似乎可以解釋?zhuān)瑸楹挝④浌窘衲?月決定懸賞25萬(wàn)美元來(lái)追蹤C(jī)onflicker的幕后作者——這個(gè)懸賞金額與上次微軟全球懸賞“震蕩波”蠕蟲(chóng)作者的標(biāo)準(zhǔn)相同。當(dāng)時(shí)“震蕩波”導(dǎo)致了全球數(shù)百萬(wàn)電腦的感染,造成了5億到10億美元的估算損失。
更為巧合的是,在這1000多萬(wàn)個(gè)被Conficker感染的IP地址所屬?lài)?guó)家和地區(qū)排名中,排在前四位的居然是中國(guó)、巴西、俄羅斯以及印度——恰好是未來(lái)最有發(fā)展?jié)摿Φ摹敖鸫u四國(guó)”。這個(gè)巧合給Conficker蒙上了一層更為神秘的色彩。
Conficker.C變種出現(xiàn)后, MTC的研究人員指出:最好的情況可能是,Conficker蠕蟲(chóng)被用作大量互聯(lián)網(wǎng)詐騙和偷竊的長(zhǎng)期獲利平臺(tái);而最糟糕也最讓人不寒而栗的情況是,Conficker蠕蟲(chóng)可能成為信息聯(lián)合侵襲的強(qiáng)大武裝工具,不僅能使各個(gè)國(guó)家限于一片混亂,而且能使整個(gè)互聯(lián)網(wǎng)中斷。
網(wǎng)絡(luò)世界中惡勢(shì)力林立,有大范圍破壞電腦系統(tǒng)或是攻擊網(wǎng)絡(luò)服務(wù)器的“技術(shù)狂人”,他們圖的是名;有偷網(wǎng)銀偷網(wǎng)游偷個(gè)人資料的盜賊,他們圖的是利。Conficker幕后的控制者(更可能是黑客組織)絕對(duì)是卓爾不群的,從未有任何一種惡意程序像Conficker一樣,還沒(méi)造成多少危害,就已經(jīng)制造了數(shù)字時(shí)代的全球性恐慌?!?/p>