因加劇惡意軟件、垃圾郵件和網絡釣魚行為而變得臭名昭著的僵尸網絡——Pushdo/Cutwail現(xiàn)在仍然是一個威脅，即使安全研究團隊和互聯(lián)網服務供應商（ISP）企圖通過去除其命令控制型（command-and-control）基礎設施來削弱僵尸網絡。

上周，來自惡意軟件分析公司LastLine的研究人員發(fā)現(xiàn)Pushdo僵尸網絡背后有30個命令控制型服務器和8個托管供應商。在聯(lián)系過負責那些托管服務器的互聯(lián)網服務供應商后，該公司成功地去除了20個服務器。從8月23日至8月25日，來自Pushdo的垃圾郵件數(shù)量明顯下降，這只占全球垃圾郵件數(shù)量的一小部分。

LastLine公司的高級威脅分析師Thorsten Holz在博客中寫道：“不幸的是，并非所有的供應商都有回應，因此一些命令控制型服務器現(xiàn)在仍然在線。”

Holz在一封電子郵件中表示，研究團隊的目的并不是擊垮僵尸網絡，而是利用從命令控制型服務器收集的數(shù)據(jù)來測試新的工具，這種新工具可以用來分析各種僵尸網絡的惡意軟件數(shù)據(jù)。

根據(jù)FireEye公司進行的關于Pushdo僵尸網絡的分析，雖然LastLine公司采取的行動削減了僵尸網絡的力量，但是其背后的網絡罪犯正在逐步壯大。供應商的安全研究人員在中國、俄羅斯、德國和美國發(fā)現(xiàn)了主動備份的命令控制型服務器。幾天后，活躍的服務器開始啟用它們，從而使其重新起作用。這樣，僵尸網絡Pushdo就復活了。

安全研究工程師Atif Mushtaq在FireEye的研究博客中寫道：“不幸的是，關閉Pushdo的嘗試只是暫停了兩天的垃圾郵件。這次，備份[命令控制型服務器] CnC真的救了他�！�

像LastLine、FireEye這樣的公司企圖削減Pushdo的同時，也迫使網絡犯罪分子繼續(xù)前進。大約過了一個月，安全廠商的honeypots檢測到Pushdo的新變種。據(jù)Mushtaq稱，網絡罪犯不急于轉移到新的命令控制型服務器。他們等待著研究人員將注意力轉移到其他僵尸網絡，然后在幾個星期之后慢慢復蘇。

LastLine公司的行動表明在很多國家內控制命令控制型服務器上的僵尸網絡有多么困難。安全研究人員表示，技術完全允許我們去除僵尸網絡，但他們針對僵尸網絡的行動被隱私法（用來保護計算機用戶）所限制。

發(fā)現(xiàn)僵尸網絡控制器并有一個合作主機的研究人員，通�？梢钥吹侥切┖诳偷奈募�。但現(xiàn)在許多命令控制型服務器不再存取數(shù)據(jù)。SecureWorks公司惡意軟件研究主管Joe Stewart說，在一些不友好的國家中，它們被用作服務器的反向代理。

Stewart說：“即使你記下這些中間服務器（可能位于美國），所有的真實數(shù)據(jù)有時被托管到另外一個終端。只需要他們在某處找到一些便宜的主機然后重新定義網絡流，僵尸網絡備份就能得以加速。對僵尸網絡經營者來說，獲得這種分布式體系結構是很容易的�！�

Stewart說，安全研究人員對學習命令控制型服務器很感興趣，希望借此來理解內置在它們之中的功能。研究人員想看看后端代碼并檢查腳本來找出所有機器人的功能。

Stewart說：“通常如果嘗試訪問僵尸網絡控制器，我就可以得到磁盤映像。它能找出惡意軟件出處、可能的作者及出售的地點。我們也試圖找出能更好地跟蹤惡意軟件工具包和作者活動的方法。”

關注僵尸網絡探測的安全公司Damballa的研究副總裁Gunter Ollmann表示，真正消除一個僵尸網絡的方法是同時消滅其所有的命令控制型服務器。流氓網絡供應商的存在和一些國家有關網絡犯罪法律的匱乏使這項工作更難進行。

Ollmann說：“如果你遺漏了一個命令控制型服務器，僵尸網絡仍然會持續(xù)下去，甚至還會隨著命令控制型服務器新列表進行更新，然后你又功虧一簣了�！�

盡管如此，但Ollmann也表示，現(xiàn)在，研究人員可以更好地識別和監(jiān)測流氓服務器。主要的互聯(lián)網服務供應商也在監(jiān)測網絡流量方面做得越來越好，從而更好的檢測那些試圖連接命令控制型服務器的計算機。這樣，互聯(lián)網服務供應商可以建立一個高強度的保護，切斷向被感染的主機的互聯(lián)網流量。