“一个可以在其轨道阻止这些垃圾邮件的方法就是黑名单,”戴尔SecureWorks公司的反威胁单位的Joe Stewart说道,“我担心的是互联网服务供应商将继续通过IP地址,而你可以到达那些黑名单无法扩展到IPv6的位置。”
IP黑名单是一种常见但有限的清楚垃圾邮件的方法,因为网络犯罪分子可以以小时为周期通过新的IP地址,Stewart说道。网络罪犯们也可以劫持已知的好的IP地址,比如盗窃邮件帐户地址,避开黑名单的努力给邮件提供商带来问题。
因为较短的IP地址已经不够互联网使用,互联网工程任务组(The Internet Engineering Task Force,IETF)正在支持向IPv6迁移,把IP地址从32位延长到128位。Stewart表示,IPv6的部署可以使互联网服务供应商(ISP)采取简单的方法通过IPv6地址,而不是给用户静态的地址。使用静态的IP地址“也许很棒,因为你可以更持久的将垃圾邮件发射器拉入黑名单,”他说道。为用户分配一个静态IP地址,对互联网服务供应商来说成本太高,且有太多的文书工作,Stewart补充解释道。
据Stewart在2011 RSA大会上发布的新的戴尔SecureWorks报告,这个问题可能会导致消费者的成本增加。除了上述的IPv6潜在问题,该报告还详细介绍了僵尸网络如何提交垃圾邮件和恶意软件到PC机上。“这不只是关于公司接收的垃圾邮件,它与他们从垃圾邮件受到的感染有关,”Stewart说道。
Stewart表示,公司也许不认为垃圾邮件的感染对预算会产生很大影响,但是它会导致其他花费大的问题。公司应仔细检查已受感染的计算机,并确定它们是否应该重新映像,他说道。
“很多时候是垃圾邮件程序仅仅是冰山一角,”Stewart说道,“随着最近被使用的恶意软件的按次收费模式,没当我们看到一个垃圾邮件程序时,我们看到其上三个或者更多的恶意软件安装。”
Rustock仍然是最突出的垃圾邮件程序,估计有25万垃圾邮件和恶意软件是它产生的。Rustock的长处是其感染Windows电脑的隐蔽方式。据戴尔SecureWorks报告,它被设计为一个rootkit,并将它的文件深藏在Windows机器里。Stewart认为,Rustock代表了最有创意的僵尸网络,且其没有竞争对手。
在Rustock背后的网络犯罪分子使用秘密行动和躲避战术从而停留在雷达之下。它使用加密技术来掩饰命令和控制命令和一种技巧,以避免被网络管理员断开。
“看来Rustock背后的的人正在尽他们所能,维持最大的僵尸网络,赚最多的钱,”Stewart说道。
Cutwail是僵尸网络最有力的竞争者之一。它负责许多使用Cutwail代码迭代的不同的僵尸网络。
其他的在雷达之下的垃圾邮件程序有Lethic,Grum,Festi和Maazben。Stewart表示垃圾邮件程序的大小并不能衡量它所带来的威胁。
“它们都属于成功的,因为它们可以在存在于雷达之下,”Stewart说道,“他们明白如果它们的规模不大,就不值得研究人员花时间查看,比如只有5000个或20000个僵尸程序的僵尸网络,因为还有更多比这个更大的。”
Stewart指出,Mega-D(臭名昭著的垃圾邮件僵尸网络在去年被安全厂商FireEye 公司的研究人员打倒了)正在显示出复苏的迹象。该僵尸网络,产生于莫斯科,因为它在运行僵尸网络中的作用在威斯康星州被指控,估计每天已经发出了超过千万的垃圾邮件。
“我认为这表明,如果一个公司可以将无限的资源用于找到域名和跟踪源,他可以成功,”Stewart说道,“逮捕是长远看来唯一能解决僵尸网络扩散问题的方法。”