企业网D1Net（全球IP通信联盟旗下媒体）8月11日（上海）在拉斯维加斯举行的DEFCON黑客大会上，研究人员证明，僵尸网络和攻击机之间，通过拨打同一VoIP会议电话号码和使用拨号音交换数据，可进行通信，VoIP容易受到僵尸网络侵袭。

"包括余下的匿名用户在内的攻击机的最主要的目标，是对分散在网络上的付费电话和手机设备植入恶意程序代码"，安全风险评估公司 Security Art的研究人员 Itzik Kotler 和ftach Ian Amit 说。

DEFCON： 匿名用户的教训？企业的安全防护很烂

研究人员说，植入bot恶意代码是最主要的僵尸工具之一，在手机和公共电话网络中清除方法为：登陆控制服务器端，对僵尸网络的信令源代码分析，总结规则。如果僵尸主机不使用信令和控制服务器，此方法就不可行了。

事实上，如果感染的僵尸机存在企业网中，僵尸网络的组成不再通过互联网，僵尸主机可直接与僵尸机进行通信。因此，被僵尸程序感染的公司的VoIP网络，即使与数据网络隔离，仍会有一根线与外界相连。

DEFCON：VoIP安全防护低

上面介绍的网络僵尸的隐蔽性。此外，基于VoIP本身采用的技术，使网络僵尸很容易穿透企业防火墙；VoIP是使用流量传输信号，一旦数据丢失，很难被防护软件监视到。由于通过数据流传输音频，使得数据丢失预防扫描仪无法识别本应该过滤的数据模式，研究人员说。

VoIP作为信令通道的缺点是，它严格限制了一次性接触的僵尸话机的数量，企业网络可以发送的数据被盗率，受到电话系统的限制， Kotler和Amit说。

通过IP窃听，欺骗呼叫来源

他们在这次电话会议演示过程中，把Asterisk开源IP PBX作为企业的PBX ，虚拟机作为企业网络僵尸计算机，黑莓手机作为僵尸主机。拨打企业网络电话时，经TCP / IP协议和PBX，通过公共电话网络，攻击者可以拨通同一电话会议号码窃取信息。

然后，研究人员使用Moshi Moshi 开源软件在僵尸主机和僵尸话机之间通信。Moshi Moshi 中包含了翻译代码，它把信令转换成DTMF拨号音作为输入信号，并将其窃取到的文本数据转换成话音输出。由此产生的语音流量，经拨打电话传输到语音信箱，攻击者可以轻松的窃取到整个通话过程。

研究人员说，他们的演示只是一个概念性的论证，经改进后可以更好的工作。例如，在该论证中纳入调制解调器技术，发送语音生成的语音邮件会有更高的渗出率。

为了抵御此类型的VoIP滥用，Kotler和Amit建议把VoIP网络从企业网络中完全分离出来，以防止网络僵尸感染计算机来窃听电话会议。他们还建议监控VoIP活动，以发现未经授权用户使用电话会议状况。他们说电话会议应该被列入白名单，只允许授权的IP地址和电话号码访问。（FLORA编译）