本文通过分析一个恶意软件从而发现了一个僵尸网络。该僵尸网络的特点是使用Tor作为通信渠道来隐藏自己。 有意思的是,该恶意软件的作者曾经在著名的Reddit网站上自曝自己是一个恶意代码编写者,并且秀了很多截图,结果碰巧这次他的僵尸网络被安全工作人员发现了。
原文里引用了很多作者的原话,比较有意思,推荐一读。研究人员发现了一个恶意软件,它和Reddit上一个狂妄的黑客所描述自己写的代码很相似。
- 小心盗版软件:
它利用Usenet的文件共享来传播,这种途径有几个优点:受害者会自投罗网、易于部署、难于根除、潜在的受害者较多。
- 概述:
这个恶意软件有15MB之巨,但是在VirusTotal上却只有7/42的检测率(Cocoa注:现在是26/42了)。里面充斥着大量垃圾代码,估计是为了伪装成一个正常软件的样子。当然也有很多混淆手段来躲避检测。他内嵌了四个资源:ZeusBot、Tor客户端、比特币工具和比特币要用到的OpenCL.dll。它启动后伪装为IE或者svchost.exe,然后创造几个进程,将它们挂起、使用恶意代码重写内存、再恢复运行。从命令行发现它不仅使用Tor连接后台,而且也在受感染的机器上开了Tor的Hidden Services 。
- Tor,走起:
使用Tor来作为僵尸网络的基础设施之前就被讨论了很多次(例如Defcon 18),但是这是第一次被发现的实际例子。一般的僵尸网络C&C网络都是使用正常的服务器,并且注册一个域名指向它,但是这种很容易被安全工作者攻陷,或者干脆劫持域名到一个sinkhole里。有时候僵尸网络操控者会买很多服务器来实现一个“防弹僵尸网络”,不过这很花钱而且不一定100%可靠。天网使用了Tor独有的Hidden Services和.union伪域名来保证不会被发现和劫持。
- 奶奶也会用的IRC僵尸网络:
天网连接到Tor Hidden Service背后的IRC服务器来接受命令,比如发动DDoS攻击,获取被感染主机信息等。
- ZeuS:
该作者使用了最常见的网银木马——宙斯,这是僵尸网络的核心,也为其提供资金来源。和IRC一样,宙斯也是用Tor Hidden Service来获取配置文件以及回传窃取的登录凭证等。
- 挖比特币
本恶意软件使用CGMiner来挖比特币。为了不被发现,它还监控鼠标和键盘操作,只有空闲时候才会开挖。为了不打扰被害者打游戏和看电影,作者还“好心”的降低了优先级并且限制CPU占用率……
- 追踪僵尸网络:
借助逆向工程,安全人员找到了该恶意软件使用的Tor Hidden Service,发现它还生龙活虎地DDoS了一家荷兰的机构。有趣的是,这些僵尸集中在欧洲中部,比如荷兰和德国,估计被感染主机规模在12,000至15,000左右。
- 掘金:
比特币和宙斯盗号是其主要的资金来源,作者不亲自出售帐号而是卖给黑市,这样既方便又安全。
- 总结:
这个恶意软件简单有效,麻雀虽小但五脏俱全。使用Tor作为通信渠道并且使用Hidden Services来保护背后的基础设施是亮点,其他僵尸网络操控者很有可能会模仿这种方法。另一个有趣的要素是6个月前作者就发了帖子,但是僵尸网络直到现在才被人注意到。经验教训:1.建造僵尸网络不一定要靠入侵,所以大家使用互联网特别是下载文件的时候要当心。2.不花钱就搭建一个“防弹僵尸网络”也是有可能的,Tor是把刀,看用在谁的手里。
|