肢解手机僵尸网络

　　近日，有国内媒体报道，手机僵尸病毒感染了百万台手机，幕后操纵者获利颇丰。安全专家从2006年就开始发现，网络威胁开始转向移动应用领域。移动手机受僵尸网挟持的问题越来越引起人们的普遍关注。

　　最近，一项对手机僵尸网络的研究已经在实验室里完成了。安全研究员科林•玛丽娜（Collin Mulliner）和琴•皮埃尔•塞弗特（Jean Pierre Seifert）模拟了一个稳固的概念型iPhone手机僵尸网络，并对其进行了研究，调查手机僵尸网络控制短信的过程。

　　研究人员没有实施任何扩散功能，所以僵尸网络不会逃出实验室。他们将注意力集中在哪种通讯方法可以最好的维护一个分布式的计算网络（比如一个僵尸网络）、SMS（短信服务）、http或P2P。与一般的台式机安全研究员不一样的是，这两个研究员在其他一些领域也有经验，比如研发低电量的CPU或内存设备，这些设备没有持续的网络连接。

　　他们的研究在第五届国际恶意软件大会上进行了展示。玛丽娜和塞弗特研究了几种方法，这些方法可以建立命令和控制（C&C）基于一个移动电话网的僵尸网络。

　　SMS方法使用短信向病毒发送命令，该方法通常会被移动间谍软件和僵尸网络所利用。更高级的恶意软件也会拦截和删除任何命令式的SMS短信，因此用户不会感觉他们的手机被感染了。玛丽娜先前有过拦截SMS信息的经验，在2009年黑帽美国安全会议上，她展示了对这个话题的研究。

　　其他的手机恶意软件利用简单的基于文字的SMS短信，与之不同的是，玛丽娜和塞弗特使用二进制模式的SMS。这些二进制模式的SMS短信有140个字节，二进制的形式发送可以让这些短信以更小的空间编码命令，还可以帮助命令和控制（C&C）短信更难被检测出来。除了SMS法之外，他们还发现，利用P2P和http协议的结合可以增加僵尸网络的顽固性。

　　有时研究人员必须把恶意软件的恶意代码激发出来。通常，安全开发或软件测试程序并不能辨识恶意软件研发者。玛丽娜的研究包括可以模糊SMS管理者的视线，所以事实上他们也可以让僵尸网络的SMS命令处理代码变混乱。

　　因为他们使用了二进制SMS短信，所以僵尸命令不会像普通的文本协议那样简单。以下的表格显示了一个命令SMS的崩溃过程。玛丽娜和塞弗特非常仔细的设计他们的通信协议，以确保通过命令效仿重新演示攻击的方式是安全的。命令效仿包括加密和数字标记命令信息。

　　在一个稳固、耐故障的移动僵尸网络上做实验后，你可能想知道如何才能阻止此类攻击。事实上，可以从玛丽娜和塞弗特的实验展示中得到好的启示。McAFee公司的研究员吉米•沙阿（Jimmy Shah）说，移动电话公司需要考虑监督并打击基于SMS的僵尸网络。从个人手机层面上来讲，也有一些方法来切断攻击的大门。比如，给你的手机安装最新的官方操作系统或者固件补丁，或者避免安装盗版软件和不可信的软件。