黑客长期使用恶意软件操控僵尸电脑,但是安全研究人员Rob Ragan和Oscar Salazar有一个疑问:为什么这些黑客放着免费的资源不用,却喜欢窃取无辜受害者的计算资源?
下个月在拉斯维加斯举行的Black Hat会议上,Ragan和Salazar计划透露他们如何只利用免费试用和免费增值账户,在线上宿主程序服务上构建一个僵尸网络。这一黑客组合使用自动化操作生成唯一的电子邮件地址,然后集体为这些免费账户注册,构建一个大约一千台电脑组成的基于云的僵尸网络。
这个在线僵尸部落能够发动统一的网络攻击,破解密码,或挖掘价值数百美元一天的电子货币。相比劫持电脑,通过从云账户构建僵尸网络,Ragan和Salazar相信他们的行为可能是合法的。
“我们本质上建造了的一台免费的超级计算机”,Ragan说,他和Salazar目前在一家全咨询公司Bishop Fox做研究员。“我们肯定将会有更多的恶意活动出自这些服务。”
像Google、Heroku、Cloud Foundry、CloudBees这样为开发者提供在遥远的数据中心服务器上管理他们应用程序能力的公司,经常转售像Amazon和Rackspace公司拥有的计算资源。Ragan和Salazar测试了超过150个这些服务的账户创建过程。只有三分之一需要证书——附加的信息比如信用卡,电话号码,或者填写验证码。
从剩下简单的三分之二服务中,他们选择了可以免费注册账户或免费试用的大约15项服务作为目标。研究人员不会指出那些脆弱服务的名字,以避免被恶意黑客利用。“很多这些公司是初创公司,他们试图尽可能快的得到尽能多的用户,” Salazar说。“他们很少思考针对这种类型攻击的防御。”
不法活动
Ragan和Salazar使用Mandrill和他们自己运行在GAE上的程序进行自动快速注册和确认过程。一个名为FreeDNS.afraid.org的服务让他们在不同域上创建无限的电子邮件地址;他们使用看上去更像真实情况的地址。然后使用一个可以让开发人员管理多个Python脚本工具的Python Fabric来控制他们成百上千的电脑。
基于云的僵尸网络的一项实验是挖掘电子货币Litecoin,他们发现,根据Litecoin的汇率,每天每个账户可以生产大约25美分,这样一个星期下来,整个僵尸网络将产生1750美元,Ragan说。
由于Ragan 和Salazar担心他们的演示带来真正的破坏活动,他们关掉采矿操作几小时,但为了测试,他们在两个星期里仅运行少量的采矿程序,没有一个被检测到或关闭。
除了Litecoin采矿,研究人员表示,他们可以使用cloudbots来做更多恶意终结者式的分布式密码破解、点击欺诈或者使用垃圾流量淹没目标网站的拒绝服务攻击。由于云服务提供网络带宽远远超过普通家用电脑,他们表示这样的僵尸网络可以给任何特定攻击目标大约20000台PC的攻击流量。Ragan和Salazar无法真正衡量攻击的规模,因为他们的测试目标没有一个能够坚持足够长在线时间,所以他们很难精确计算,“不过我们仍在寻找志愿者,”Ragan开玩笑说。
更令人不安的是,Ragan 和Salazar表示,从信誉良好的云服务上发动的攻击,目标会非常难以过滤。“想象一下,IP地址都来自Google和Amazon的分布式拒绝服务攻击,“Ragan说,“这才是真正的挑战,你不能将整个IP范围拉入黑名单。”
守法公民
使用基于云的僵尸网络攻击,当然,将是非法的,但首先创建僵尸网络可能不是,这两位研究者争论着。他们承认违反了不少公司的服务条款协议,但无论这样一个行为是否构成犯罪,它仍然是一个重要的合法争论。根据计算机欺诈和滥用法,违反这些细则的行为已经引起了一些诉讼,如后期的Aaron Swartz。但至少有一个法院裁定违反服务条款本身并不构成计算机欺诈。大多数的服务条款违反者并没有受到处罚——这也是件好事,因为它告诉我们实际上没有多少网民真正阅读它们。
Ragan 和Salazar认为,尽管法律保护,公司本身需要实现自己的反自动化技术来阻止他们演示的这种bot-based注册。在Black Hat会议上,他们计划发布用于创建和控制他们cloudbots的两款软件,以及免遭他们方案攻击的防御软件。
毕竟,在他们的云计算实验中,并不是每个黑客都像Ragan和 Salazar一样。两位研究者表示,他们已经看到AppFog和Engine Yard关闭或暂停了他们的一些免费选项,原因是越来越多的恶意黑客利用他们的服务进行攻击活动,另一家公司也以僵尸网络挖掘电子货币的缘由关闭其免费帐户功能。
“我们想引起大家的警觉,因为很多公司没有充分的反自动化技术来阻止这种类型的攻击“,Ragan说。“我们将会看到这种类型的僵尸网络呈上升趋势?答案无疑是肯定的。”