研究：企業內的小型殭屍網路比大型的更危險

專門提供殭屍網路目標式攻擊安全解決方案的Damballa在近日公布了鎖定企業的殭屍網路研究報告，指出只連結1～100台電腦的殭屍網路不但佔企業殭屍網路的57%，而且其所造成的危害可能比大型殭屍網路更為嚴重。

Damballa研究副總裁Gunter Ollmann表示，在許多人都在注意網路上流竄的大型殭屍網路時，小型的殭屍網路不僅在企業環境中頗為流行，而且所執行的任務也不同，由於他們更了解企業的運作環境，因此也更為危險。

Damballa觀察在全球企業中流竄的600個殭屍網路，發現有57%僅操縱1～100台電腦，有21%操縱101～500台電腦，有17%操縱501～10000台電腦，超過10000台電腦的殭屍網路比例則只有5%。

Ollmann說，審視那些操縱不到100台電腦的小型殭屍網路，發現絕大多數都是使用網路上受歡迎的DIY惡意程式架構工具套件，這些套件的售價為數百美元，但經常能透過駭客論壇或新聞群組等地免費下載。

此外，他認為這些小型的殭屍網路皆高度鎖定特定的企業，這通常需要對該企業有一定程度的了解，他甚至懷疑有些時候是員工在重要系統上打造一個後門，以讓他們得以遠端管理企業資產以及閃避防毒軟體的偵測。

問題出在於上述免費的DIY惡意程式套件也是類似的後門，所以任何使用這些免費套件來管理網路的員工們，同時也讓相關DIY套件的供應者能夠存取一樣的系統，使得這些小型的殭屍網路多半擁有多種功能性指令以及控制管道。

至於其他的小型殭屍網路看起來則具備更專業性的管理，這些殭屍網路的目標多半是企業內部的系統及資料，因此不會被用來進行引人注目的攻擊行動，而是靜靜地監視企業網路並找出關鍵的資產、金融資訊，或是可用來銷售的商業機密。

Ollmann指出，這些小型的殭屍網路得以有效躲避安全雷達的偵測，同時也仰賴駭客對企業內部操作的熟悉度，因此長期而言對企業才是最危險的。（編譯/陳曉莉）