因加劇惡意軟件、垃圾郵件和網(wǎng)絡(luò)釣魚行為而變得臭名昭著的僵尸網(wǎng)絡(luò)——Pushdo/Cutwail現(xiàn)在仍然是一個威脅，即使安全研究團(tuán)隊(duì)和互聯(lián)網(wǎng)服務(wù)供應(yīng)商（ISP）企圖通過去除其命令控制型（command-and-control）基礎(chǔ)設(shè)施來削弱僵尸網(wǎng)絡(luò)。

上周，來自惡意軟件分析公司LastLine的研究人員發(fā)現(xiàn)Pushdo僵尸網(wǎng)絡(luò)背后有30個命令控制型服務(wù)器和8個托管供應(yīng)商。在聯(lián)系過負(fù)責(zé)那些托管服務(wù)器的互聯(lián)網(wǎng)服務(wù)供應(yīng)商后，該公司成功地去除了20個服務(wù)器。從8月23日至8月25日，來自Pushdo的垃圾郵件數(shù)量明顯下降，這只占全球垃圾郵件數(shù)量的一小部分。

LastLine公司的高級威脅分析師Thorsten Holz在博客中寫道：“不幸的是，并非所有的供應(yīng)商都有回應(yīng)，因此一些命令控制型服務(wù)器現(xiàn)在仍然在線�！�

Holz在一封電子郵件中表示，研究團(tuán)隊(duì)的目的并不是擊垮僵尸網(wǎng)絡(luò)，而是利用從命令控制型服務(wù)器收集的數(shù)據(jù)來測試新的工具，這種新工具可以用來分析各種僵尸網(wǎng)絡(luò)的惡意軟件數(shù)據(jù)。

根據(jù)FireEye公司進(jìn)行的關(guān)于Pushdo僵尸網(wǎng)絡(luò)的分析，雖然LastLine公司采取的行動削減了僵尸網(wǎng)絡(luò)的力量，但是其背后的網(wǎng)絡(luò)罪犯正在逐步壯大。供應(yīng)商的安全研究人員在中國、俄羅斯、德國和美國發(fā)現(xiàn)了主動備份的命令控制型服務(wù)器。幾天后，活躍的服務(wù)器開始啟用它們，從而使其重新起作用。這樣，僵尸網(wǎng)絡(luò)Pushdo就復(fù)活了。

安全研究工程師Atif Mushtaq在FireEye的研究博客中寫道：“不幸的是，關(guān)閉Pushdo的嘗試只是暫停了兩天的垃圾郵件。這次，備份[命令控制型服務(wù)器] CnC真的救了他。”

像LastLine、FireEye這樣的公司企圖削減Pushdo的同時，也迫使網(wǎng)絡(luò)犯罪分子繼續(xù)前進(jìn)。大約過了一個月，安全廠商的honeypots檢測到Pushdo的新變種。據(jù)Mushtaq稱，網(wǎng)絡(luò)罪犯不急于轉(zhuǎn)移到新的命令控制型服務(wù)器。他們等待著研究人員將注意力轉(zhuǎn)移到其他僵尸網(wǎng)絡(luò)，然后在幾個星期之后慢慢復(fù)蘇。

LastLine公司的行動表明在很多國家內(nèi)控制命令控制型服務(wù)器上的僵尸網(wǎng)絡(luò)有多么困難。安全研究人員表示，技術(shù)完全允許我們?nèi)コ�僵尸網(wǎng)絡(luò)，但他們針對僵尸網(wǎng)絡(luò)的行動被隱私法（用來保護(hù)計(jì)算機(jī)用戶）所限制。

發(fā)現(xiàn)僵尸網(wǎng)絡(luò)控制器并有一個合作主機(jī)的研究人員，通�？梢钥吹侥切┖诳偷奈募�。但現(xiàn)在許多命令控制型服務(wù)器不再存取數(shù)據(jù)。SecureWorks公司惡意軟件研究主管Joe Stewart說，在一些不友好的國家中，它們被用作服務(wù)器的反向代理。

Stewart說：“即使你記下這些中間服務(wù)器（可能位于美國），所有的真實(shí)數(shù)據(jù)有時被托管到另外一個終端。只需要他們在某處找到一些便宜的主機(jī)然后重新定義網(wǎng)絡(luò)流，僵尸網(wǎng)絡(luò)備份就能得以加速。對僵尸網(wǎng)絡(luò)經(jīng)營者來說，獲得這種分布式體系結(jié)構(gòu)是很容易的。”

Stewart說，安全研究人員對學(xué)習(xí)命令控制型服務(wù)器很感興趣，希望借此來理解內(nèi)置在它們之中的功能。研究人員想看看后端代碼并檢查腳本來找出所有機(jī)器人的功能。

Stewart說：“通常如果嘗試訪問僵尸網(wǎng)絡(luò)控制器，我就可以得到磁盤映像。它能找出惡意軟件出處、可能的作者及出售的地點(diǎn)。我們也試圖找出能更好地跟蹤惡意軟件工具包和作者活動的方法�！�

關(guān)注僵尸網(wǎng)絡(luò)探測的安全公司Damballa的研究副總裁Gunter Ollmann表示，真正消除一個僵尸網(wǎng)絡(luò)的方法是同時消滅其所有的命令控制型服務(wù)器。流氓網(wǎng)絡(luò)供應(yīng)商的存在和一些國家有關(guān)網(wǎng)絡(luò)犯罪法律的匱乏使這項(xiàng)工作更難進(jìn)行。

Ollmann說：“如果你遺漏了一個命令控制型服務(wù)器，僵尸網(wǎng)絡(luò)仍然會持續(xù)下去，甚至還會隨著命令控制型服務(wù)器新列表進(jìn)行更新，然后你又功虧一簣了。”

盡管如此，但Ollmann也表示，現(xiàn)在，研究人員可以更好地識別和監(jiān)測流氓服務(wù)器。主要的互聯(lián)網(wǎng)服務(wù)供應(yīng)商也在監(jiān)測網(wǎng)絡(luò)流量方面做得越來越好，從而更好的檢測那些試圖連接命令控制型服務(wù)器的計(jì)算機(jī)。這樣，互聯(lián)網(wǎng)服務(wù)供應(yīng)商可以建立一個高強(qiáng)度的保護(hù)，切斷向被感染的主機(jī)的互聯(lián)網(wǎng)流量。