Asprox殭屍網路重生

作者:Nart Villeneuve(資深威脅研究員)

雖然垃圾郵件 殭屍網路是以發送不受歡迎的廣告郵件著稱,尤其是那些賣假藥的公司,但他們同時也是散播惡意軟體不可或缺的一部分。除了發送自己的惡意軟體好提高自己殭屍網路的規模,安裝其他的惡意軟體也讓這些幕後黑手們可以通過按次付費安裝模式來賺錢。

趨勢科技已經研究過惡名昭彰的Asprox垃圾郵件殭屍網路的運作模式。Asprox以發送偽裝成來自快遞公司(像是FedEx、DHL和美國郵局)的垃圾郵件(SPAM)而著稱。雖然Asprox殭屍網路只在過去幾年間被偶爾的提到,但其他類似手法的攻擊活動,還有利用知名航空公司的假機票詐騙(像是達美航空和美國航空)都受到相當的關注。

這些攻擊活動很少跟Asprox殭屍網路相連結。甚至更少看到關於這殭屍網路運作的分析報告。這怎麼可能呢?Asprox進行了一些修改讓自己變得更有效果:

  • 它使用成套的垃圾郵件(SPAM)範本,透過多種主題和語言去誘騙使用者打開惡意附件檔或點入惡意連結。
  • 它採用模組化的框架(利用KULUOZ惡意軟體),所以殭屍網路營運商可以在有需要時輕易地添加新功能。同時還用RC4加密以對抗網路層偵測技術。
  • 它擁有多個垃圾郵件(SPAM)郵件模組,其中一個會利用被入侵的合法電子郵件帳號來對抗使用信譽評比技術的反垃圾郵件系統。
  • 它會部署掃瞄模組,命令受感染電腦掃描網站漏洞。這是為了要透過被入侵淪陷網站來散播惡意軟體,以避免被網頁過濾和信譽評比技術偵測。
  • 它會散播資料竊取模組,讓它能夠取得受害者的FTP、網站和電子郵件帳號登錄資訊。

Asprox殭屍網路主要針對北美使用者,它也會發送德文和西班牙文的垃圾郵件(SPAM)給歐洲使用者。

各地區的Asprox 殭屍網路惡意軟體偵測狀況
圖一、各地區的Asprox 殭屍網路惡意軟體偵測狀況

 

各地區的Asprox 殭屍網路垃圾郵件攻擊活動偵測狀況
圖二:各地區的Asprox 殭屍網路垃圾郵件攻擊活動偵測狀況

 

趨勢科技的研究顯示,就算已經過了一段時間,只要經過修改,這些知名的威脅仍然可以繼續有效。此外,它也顯示了垃圾郵件Asprox殭屍網路仍然是惡意軟體生態系統的重要組成部分,網路犯罪分子會一再尋找新方法和防禦方對抗。

趨勢科技的全部研究結果都包含在Asprox重生研究報告裡,可以在這裡下載。

 

@原文出處:Asprox Reborn

 

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

 

APT 攻擊

 

◎即刻加入趨勢科技社群網站,精彩不漏網