Rustock僵尸网络涌现加密垃圾邮件

admin

令人憎恶的Rustock僵尸网络最近发出了用TLS加密的垃圾邮件，安全公司称，这种情况显示出僵尸网络发展的一大新趋势。
三月初，赛门铁克MessageLabs分部报告称监测到大量使用TLS的垃圾邮件，TLS是指传输层安全，它是接替SSL（保密插口层） 的加密协议，通常被用来确保服务器和客户端之间所传输邮件内容的安全性。
该公司在三月底的一项调查报告中称，从那时起的一个月内，Rustock发出的用TLS加密的垃圾邮件比例就从35%攀升至77%。
和非TLS数据相比，TLS为邮件服务器带来更多处理请求，大约每封垃圾邮件就多出1024字节的负载。由于现在大多数邮件都是垃圾邮件，所以不论此类信息是否被定义为垃圾邮件，累计的数据负载都异常多。
自从2008年，Rustock出现并发送大量垃圾邮件以来，它就顺利跻身于僵尸网络排名的第三位。而大家都认为2009年McColo的关闭对包括Rustock在内的多个僵尸网络都造成了巨大影响，而此次创伤有可能是引发了其新一轮自卫演化的原因。
MessageLabs并非唯一发现Rustock使用TLS的邮件托管服务商。在该公司发出Rustock预警的同一时期，微软Forefront在线安全部门的Terry Zink也在博客中提到了类似Rustock使用TLS协议的情况。
其他供应商也都相继报告发现大量用TLS加密的垃圾邮件，包括瑞典的CronLab公司，M86 Security等。
M86 Security的Phil Hay称，他们在实验室用TLS创建了一个节点，并确认有一些Rustock僵尸网络在使用TLS。他们的统计显示Rustock仍然是垃圾邮件输出的主要源头，而TLS技术的使用预示着这场与垃圾邮件的斗争在升级。
他还说，这意味着虽然部署TLS技术有对系统资源有效，但是企业不能依靠部署TLS来减少垃圾邮件。
对于为什么Rustock采用此技术，各方还存在争议。将TLS添加到输出的垃圾邮件中，会减慢垃圾邮件的传输速度，看上去这有悖于垃圾邮件发送者尽可能快而远地传递非法邮件的意图。TLS加密过的邮件不会自动获取邮件接收服务器的信任，因此这并非一项简单的躲避技巧。
Zink等专家推测，这样的邮件或许可以连接到最近因违法而被强制关闭的几个僵尸网络，包括西班牙政府破获的巨大僵尸网络Mariposa。渗透到Mariposa，或者其他任何僵尸网络，都需要破坏其命令和控制层。采用TLS进行自卫，或许是想增加拦截的难度。