基于Tor的僵尸网络--天网

本文通过分析一个恶意软件从而发现了一个僵尸网络。该僵尸网络的特点是使用Tor作为通信渠道来隐藏自己。
有意思的是，该恶意软件的作者曾经在著名的Reddit网站上自曝自己是一个恶意代码编写者，并且秀了很多截图，结果碰巧这次他的僵尸网络被安全工作人员发现了。

原文里引用了很多作者的原话，比较有意思，推荐一读。研究人员发现了一个恶意软件，它和Reddit上一个狂妄的黑客所描述自己写的代码很相似。

1. 小心盗版软件：
   它利用Usenet的文件共享来传播，这种途径有几个优点：受害者会自投罗网、易于部署、难于根除、潜在的受害者较多。
2. 概述：
   这个恶意软件有15MB之巨，但是在VirusTotal上却只有7/42的检测率（Cocoa注：现在是26/42了）。里面充斥着大量垃圾代码，估计是为了伪装成一个正常软件的样子。当然也有很多混淆手段来躲避检测。他内嵌了四个资源：ZeusBot、Tor客户端、比特币工具和比特币要用到的OpenCL.dll。它启动后伪装为IE或者svchost.exe，然后创造几个进程，将它们挂起、使用恶意代码重写内存、再恢复运行。从命令行发现它不仅使用Tor连接后台，而且也在受感染的机器上开了Tor的Hidden Services 。
3. Tor，走起：
   使用Tor来作为僵尸网络的基础设施之前就被讨论了很多次（例如Defcon 18），但是这是第一次被发现的实际例子。一般的僵尸网络C&C网络都是使用正常的服务器，并且注册一个域名指向它，但是这种很容易被安全工作者攻陷，或者干脆劫持域名到一个sinkhole里。有时候僵尸网络操控者会买很多服务器来实现一个“防弹僵尸网络”，不过这很花钱而且不一定100%可靠。天网使用了Tor独有的Hidden Services和.union伪域名来保证不会被发现和劫持。
4. 奶奶也会用的IRC僵尸网络：
   天网连接到Tor Hidden Service背后的IRC服务器来接受命令，比如发动DDoS攻击，获取被感染主机信息等。
5. ZeuS：
   该作者使用了最常见的网银木马——宙斯，这是僵尸网络的核心，也为其提供资金来源。和IRC一样，宙斯也是用Tor Hidden Service来获取配置文件以及回传窃取的登录凭证等。
6. 挖比特币
   本恶意软件使用CGMiner来挖比特币。为了不被发现，它还监控鼠标和键盘操作，只有空闲时候才会开挖。为了不打扰被害者打游戏和看电影，作者还“好心”的降低了优先级并且限制CPU占用率……
7. 追踪僵尸网络：
   借助逆向工程，安全人员找到了该恶意软件使用的Tor Hidden Service，发现它还生龙活虎地DDoS了一家荷兰的机构。有趣的是，这些僵尸集中在欧洲中部，比如荷兰和德国，估计被感染主机规模在12,000至15,000左右。
8. 掘金：
   比特币和宙斯盗号是其主要的资金来源，作者不亲自出售帐号而是卖给黑市，这样既方便又安全。
9. 总结：
   这个恶意软件简单有效，麻雀虽小但五脏俱全。使用Tor作为通信渠道并且使用Hidden Services来保护背后的基础设施是亮点，其他僵尸网络操控者很有可能会模仿这种方法。另一个有趣的要素是6个月前作者就发了帖子，但是僵尸网络直到现在才被人注意到。经验教训：1.建造僵尸网络不一定要靠入侵，所以大家使用互联网特别是下载文件的时候要当心。2.不花钱就搭建一个“防弹僵尸网络”也是有可能的，Tor是把刀，看用在谁的手里。