编者按：2008年1月初，RSA反网络欺诈指挥中心检测到几起依靠Storm 僵尸网络作为代理的钓鱼式攻击。攻击事件针对英国的主要银行。攻击事件是基于代理进行的——袭击的受害者与代理服务器进行通信，而该代理服务器提供了来自“母舰”的网络钓鱼内容。此外，袭击者将Storm 僵尸网络用作快速通量网络(fast-flux network)。受害者所访问的代理服务器的IP地址频繁得进行轮换。网页仿冒域名将每次对它的访问尝试转变成一个不同的IP地址。钓鱼式攻击的发动者所使用的代理服务器的IP地址“池”相对比较大。

　　Storm 僵尸网络攻击中的名称服务器在域中进行了注册，而不是“外部的”。举例来说，如钓鱼网站被托管在www.stormphish.com/ ，那么这个域的名称服务器就是ns1.stormphish.com 。这种结构可以阻止进行向下（take down）服务，以免予去验证在同一网络代理上的其它域（不同于其他钓鱼/恶意托管网络，它们可能追踪其它的域）。

Storm 僵尸网络攻击

　　在所有攻击中所使用的域名（a）都是相当的可靠，并且（b）制定成相同的形式以对各种银行发动攻击。对两个金融机构实施攻击的域名十分相似，这清楚地表明在这些攻击的背后，隐藏着某个集团。

　　在浏览器中直接键入IP地址来访问代理服务器，将会产生一个指向Storm 僵尸网络网络感染主机的签名。这个签名是该僵尸网络中许多计算机众所周知的签名，它最近用来利用恶意软件来感染用户。这有助于我们确定所实施的攻击的确是Storm 僵尸网络攻击。屏幕上的画面显示了这些IP地址被访问时会出现的页面。

　　目前为止，Storm 僵尸网络尚未与任何已知的钓鱼式攻击联系在一起。它一直在稳步地增长，积累了越来越多的受感染主机，但没有任何显示其功能的明确迹象。激活的时候，这个僵尸网络通常与垃圾邮件活动，DDoS攻击，或简单的BOT感染联系在一起。同样它也会长期的“休眠”。这是钓鱼式攻击第一次明确的涉及到——并且托管在——Storm 僵尸网络的计算机中。

　　这些袭击事件表明，Storm 僵尸网络网络有可能壮大规模，并成为一个威胁性比现在更大的网络钓鱼攻击。在最坏的情况下，Storm 僵尸网络有可能成为快速通量（fast-flux）钓鱼式攻击新热潮的基础架构。该僵尸网络被完善的搭建起来并对它进行良好的管理，现在取决于其所有者的是，想利用它进行广泛的钓鱼攻击活动，还是恶意程序攻击活动，或把它作其他用途。将它用作快速通量（fast-flux）钓鱼网络的潜力仅仅由最近的这些攻击进行了展示。而这很可能就是这些攻击的目标所在。