您的位置:网站首页 > DAO/DAPP钱包软件 > 正 文 比特币

基于Tor的僵尸网络--天网

【作者:网文】 来源:转载 日期:2012-12-13 13:47:34 人气: 标签:Tor网络 【打印】

本文通过分析一个恶意软件从而发现了一个僵尸网络。该僵尸网络的特点是使用Tor作为通信渠道来隐藏自己。
有意思的是,该恶意软件的作者曾经在著名的Reddit网站上自曝自己是一个恶意代码编写者,并且秀了很多截图,结果碰巧这次他的僵尸网络被安全工作人员发现了。

原文里引用了很多作者的原话,比较有意思,推荐一读。研究人员发现了一个恶意软件,它和Reddit上一个狂妄的黑客所描述自己写的代码很相似。

  1. 小心盗版软件:
    它利用Usenet的文件共享来传播,这种途径有几个优点:受害者会自投罗网、易于部署、难于根除、潜在的受害者较多。
  2. 概述:
    这个恶意软件有15MB之巨,但是在VirusTotal上却只有7/42的检测率(Cocoa注:现在是26/42了)。里面充斥着大量垃圾代码,估计是为了伪装成一个正常软件的样子。当然也有很多混淆手段来躲避检测。他内嵌了四个资源:ZeusBot、Tor客户端、比特币工具和比特币要用到的OpenCL.dll。它启动后伪装为IE或者svchost.exe,然后创造几个进程,将它们挂起、使用恶意代码重写内存、再恢复运行。从命令行发现它不仅使用Tor连接后台,而且也在受感染的机器上开了Tor的Hidden Services 。
  3. Tor,走起:
    使用Tor来作为僵尸网络的基础设施之前就被讨论了很多次(例如Defcon 18),但是这是第一次被发现的实际例子。一般的僵尸网络C&C网络都是使用正常的服务器,并且注册一个域名指向它,但是这种很容易被安全工作者攻陷,或者干脆劫持域名到一个sinkhole里。有时候僵尸网络操控者会买很多服务器来实现一个“防弹僵尸网络”,不过这很花钱而且不一定100%可靠。天网使用了Tor独有的Hidden Services和.union伪域名来保证不会被发现和劫持。
  4. 奶奶也会用的IRC僵尸网络:
    天网连接到Tor Hidden Service背后的IRC服务器来接受命令,比如发动DDoS攻击,获取被感染主机信息等。
  5. ZeuS:
    该作者使用了最常见的网银木马——宙斯,这是僵尸网络的核心,也为其提供资金来源。和IRC一样,宙斯也是用Tor Hidden Service来获取配置文件以及回传窃取的登录凭证等。
  6. 比特币
    本恶意软件使用CGMiner来挖比特币。为了不被发现,它还监控鼠标和键盘操作,只有空闲时候才会开挖。为了不打扰被害者打游戏和看电影,作者还“好心”的降低了优先级并且限制CPU占用率……
  7. 追踪僵尸网络:
    借助逆向工程,安全人员找到了该恶意软件使用的Tor Hidden Service,发现它还生龙活虎地DDoS了一家荷兰的机构。有趣的是,这些僵尸集中在欧洲中部,比如荷兰和德国,估计被感染主机规模在12,000至15,000左右。
  8. 掘金:
    比特币和宙斯盗号是其主要的资金来源,作者不亲自出售帐号而是卖给黑市,这样既方便又安全。
  9. 总结:
    这个恶意软件简单有效,麻雀虽小但五脏俱全。使用Tor作为通信渠道并且使用Hidden Services来保护背后的基础设施是亮点,其他僵尸网络操控者很有可能会模仿这种方法。另一个有趣的要素是6个月前作者就发了帖子,但是僵尸网络直到现在才被人注意到。经验教训:1.建造僵尸网络不一定要靠入侵,所以大家使用互联网特别是下载文件的时候要当心。2.不花钱就搭建一个“防弹僵尸网络”也是有可能的,Tor是把刀,看用在谁的手里。
返回顶部】【关闭窗口 风险提示:本站分享转载的信息均来自互联网,且仅供阅读参考,不作为具体投资的依据,据此入市,风险自担。本站所有内容涉及到的“货币”字眼需谨慎研判,我们维护各国法币的合法地位,同时数字资产具有货币的某些属性,目前是不能替代任何国家的法定货币的,请谨慎理解投资并严格遵守各国法律法规!详见本站[免责声明]。】
【读完这篇文章后,可否发表您的感受?】
0
0
0
0
0
0
0
0
本文网址:
安全联盟站长平台 互联网举办平台 公共信息安全网监 中国网安 赛门铁克安全响应中心