傀儡殭屍網路 - 資安趨勢部落格

銀行惡意軟體 SpyEye作者被判九年有期徒刑

2016 年 05 月 04 日2016 年 04 月 27 日趨勢科技 TrendMicro

銀行惡意軟體 SpyEye 的作者Aleksandr Andreevich Panin因為製作及散布SpyEye而被判處九年半的有期徒刑。這是Panin在2013年被逮捕以來的最新發展。在2014年初，他已經對製作及散布SpyEye的控訴認罪。

那次逮捕行動是美國聯邦調查局與趨勢科技加上其他執法單位和產業夥伴所共同合作的結果。趨勢科技所提供的資訊（如網路暱稱及所用帳號）被用來找出惡意作者Panin及其同夥的真實身份。

SpyEye以竊取銀行及金融網站使用者資料而臭名昭著

SpyEye一開始是以「ZeuS殺手」的身分嶄露頭角。傳言是能夠在殭屍網路戰爭中與ZeuS/ZBOT較量的惡意軟體。跟ZBOT一樣，SpyEye以竊取銀行及金融網站使用者資料而臭名昭著。它還具備了rootkit能力，讓惡意軟體的程序和檔案不被受害者所察覺。

自從其出現開始，好幾個版本的惡意軟體出現肆虐。一個重大轉折發生在ZeuS作者（被稱為「Slavik」或「Monstr」）離開了網路犯罪世界，並將ZeuS原始碼交給了Panin（被稱為「Gribodemon」或「Harderman」）。

趨勢科技協助 FBI 成功起訴 SpyEye惡意軟體作者

趨勢科技一直參與對SpyEye的相關調查直到Panin被逮捕。在2011年，我們披露一次調查所得到的發現：一起網路犯罪（稱為「Soldier」）使用SpyEye在六個月內獲得超過320萬美元。這起攻擊主要是針對美國使用者，而某些大型企業和機構（如美國政府和軍方）也受到影響。

Panin遭受逮捕以及被判刑是對Panin及其同夥（Hamza Bendelladj，又被稱為「BX1」）動向調查所產生的結果。比方說，趨勢科技的研究人員滲透了Panin和Bendelladj都會去的地下論壇。他們的貼文會在不經意間透露其電子郵件地址、ICQ號碼或Jabber號碼等資訊 – 這些資訊都可能透露出他們的真實身份。繼續閱讀

專門盜取網路銀行資訊的DRIDEX 殭屍網路為何無法斬草除根?

2016 年 04 月 21 日2016 年 04 月 21 日趨勢科技 TrendMicro

網路犯罪破獲行動有時不一定能徹底瓦解網路犯罪集團的營運。2014 年， ZeroAccess 的破獲行動，減少了該「Botnet傀儡殭屍網路」所造成的點閱詐騙案例，但過沒多久，其感染數量就又開始暴增。專門用來竊取銀行密碼的DRIDEX 殭屍網路也出現類似的情況，儘管警方在 2015 年 10 月查獲了它多個幕後操縱 (C&C) 伺服器，但它至今仍是企業的一大威脅。我們也觀察到了這樣的趨勢，並且在去年的年度資安總評報告當中加以探討。

DRIDEX 往往是透過受感染的Word和Excel文件檔作為附件發送網路釣魚信件，誘使受害人使用巨集查看這些內容。一旦用戶執行被感染的檔案，感染系統將成為殭屍網路一環,它可以竊取個人訊息和網路銀行帳戶密碼等資料,再偷偷轉出被害用戶的金錢。

DRIDEX 之所以無法斬草除根，主要有兩大原因：第一，其殭屍網路的派送機制效率很高，因此擁有廣大的受害者；第二，其不易斬草除根的點對點 (P2P) 網路基礎架構，讓它很快就能恢復營運。除此之外，根據我們推測，DRIDEX 目前也在網路犯罪地下市場上兜售，因此還有其他網路犯罪集團和駭客也會利用此殭屍網路來從事不法行動。繼續閱讀

趨勢科技協同 INTERPOL 國際刑警組織破獲SIMDA殭屍網路行動

2015 年 04 月 14 日2015 年 04 月 14 日趨勢科技 TrendMicro

趨勢科技資安專家也將於 INTERPOL World 2015 世界大會發表演講

【台北訊】全球資安軟體領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 長久以來致力提倡全球公私部門合力打擊網路犯罪，今日公開表示參與了國際刑警組織 (INTERPOL) 的 SIMDA 「Botnet傀儡殭屍網路」

破獲行動，與其他資安及科技領導廠商共同協力鏟除一個大型的「Botnet傀儡殭屍網路」。除參與這項行動之外，趨勢科技專家也將於 4 月 14 至 16 日在新加坡舉行的第一屆 INTERPOL World 2015 大會當中，為全球執法及安全機關介紹最新的防護技術。

趨勢科技執行長暨共同創辦人陳怡樺表示：「想要掌握並遏止有特定組織在背後支持的縝密網路犯罪攻擊，最重要的關鍵就在於科技、資安與執法專家之間的協同合作。SIMDA 殭屍網路破獲行動再次突顯我們長久以來盡力與其他機關團體建立聯合陣線的主張，共同防止科技被用於不當用途。除此之外，我們也很榮幸能參與 INTERPOL World 2015 這場冠蓋雲集的歷史盛會，為建立一個更安全的資訊交換世界的理念而努力。身為資安威脅防禦專家，我們將繼續分享我們的知識和經驗來支援打擊網路犯罪的行動。」

SIMDA 破獲行動鏟除了一個感染超過 770,000 台電腦的大型全球「Botnet傀儡殭屍網路」。SIMDA 是一個能讓網路犯罪集團從遠端存取電腦的工具，可讓歹徒竊取銀行帳號密碼等個人資訊，而且還能安裝並散布其他惡意程式。所謂的殭屍網路，是一群感染惡意程式的電腦所組成的動態網路，可從遠端遙控並發動網路攻擊或散發垃圾郵件。要鏟除殭屍網路需要掌握精密的技術和時機，才能確保威脅不會擴散。除了趨勢科技和 INTERPOL 之外，共同參與這項聯合行動的還有 Microsoft 和 Kaspersky Labs。

繼續閱讀

Shellshock 新式攻擊針對SMTP伺服器，台灣為存取惡意網站最多的國家

2014 年 11 月 06 日2014 年 11 月 04 日趨勢科技 TrendMicro

趨勢科技發現了針對SMTP伺服器的新式Shellshock攻擊。攻擊者利用電子郵件來攻擊這個漏洞。如果漏洞攻擊碼在有漏洞的SMTP伺服器上被執行成功，就會下載並執行被稱為「JST Perl IrcBot」的IRC殭屍程式。它會在執行後刪除自己，這很有可能是潛伏在雷達之下而不被偵測的方法。

下圖描述了攻擊的週期。

圖一、SMTP攻擊圖解

攻擊者將Shellshock惡意程式碼插入到主旨、寄件者、收件者和副本欄位來製造出惡意電子郵件。
攻擊者接著將這封電子郵件發送到任何可能有此漏洞的SMTP伺服器。
當有漏洞的SMTP郵件伺服器收到此惡意電子郵件時，內嵌的Shellshock惡意程式碼就會被執行，然後下載並執行一個IRC僵屍程式。接著會建立對IRC伺服器的連線。
攻擊者之後就能夠利用郵件伺服器來進行各種惡意活動，如發動垃圾郵件攻擊活動。

可能有漏洞的郵件伺服器

趨勢科技列出了各種可能有此漏洞的郵件伺服器環境。

qmail郵件傳輸代理程式（MTA）

.qmail是控制電子郵件傳輸的UNIX設定檔，也負責去執行Bash shell指令。可以設定它去啟動程式，一旦它呼叫了Bash，攻擊就算成功了。（這攻擊需要qmail MTA上有效收件者具備.qmail檔，而且.qmail檔包含任意派遞程式）。

第四版前的exim MTA

從第四版的exim開始，pipe_transport不會呼叫Shell來擴展變數和組合指令。

使用procmail的Postfix：Postfix MTA會調用procmail，一個郵件傳遞代理程式（MDA）。MDA被用來排序和過濾寄入的郵件。

Postfix沒有明顯的Shellshock漏洞。然而procmail（一種郵件傳遞代理程式）本身可以使用環境變數來將郵件標頭傳遞給隨後的派遞/過濾程式，導致了可被攻擊的Shellshock漏洞。

注：Debian/Ubuntu的Postfix預設將procmail設在main.cf的mailbox_command設定。這代表Debian/Ubuntu的Postfix可能會遭受Shellshock漏洞攻擊。

攻擊分析

根據趨勢科技的分析，如果嵌入到電子郵件的惡意腳本被有漏洞的SMTP伺服器成功地執行，攻擊者所製作的惡意電子郵件會連到以下網址並下載IRC殭屍程式：

hxxp://{BLOCKED}.{BLOCKED}.31.165/ex.txt
hxxp://{BLOCKED}.{BLOCKED}.251.41/legend.txt
hxxp://{BLOCKED}.{BLOCKED}.175.145/ex.sh

到目前為止所發現的IRC殭屍程式都是由Perl撰寫。ex.txt和ex.sh是同一個檔案，只是名稱不同。

圖2、「JST Perl IrcBot」下載的程式原始碼

「JST Perl IrcBot」透過端口6667、3232和9999連到命令與控制（C&C）IRC伺服器。殭屍程式會執行以下行為，危害受影響系統的安全：

從網址下載檔案
發送郵件
掃描端口
執行分散式拒斷服務（DDoS）攻擊
執行Unix指令

這種SMTP伺服器攻擊已經出現在臺灣、德國、美國和加拿大等國家。

圖3、存取惡意軟體網站最多的國家

繼續閱讀

偽裝盜版軟體的ZeroAccess殭屍網路剷除行動,後續影響

2014 年 01 月 15 日2014 年 01 月 15 日趨勢科技 TrendMicro

在去年十二月，微軟和某些執法單位合作，宣布剷除了ZeroAccess的運作。然而，這也意外地影響到另一個著名的殭屍網路/傀儡網路 Botnet – TDSS。

TDSS和ZeroAccess

ZeroAccess是世上最著名的殭屍網路/傀儡網路 Botnet之一，其惡意軟體以Rootkit能力聞名。它通常會偽裝成盜版軟體，透過點對點網路（P2P）來下載。同樣地，TDSS也是以利用Rootkit技術來閃躲偵測而著稱，並且會散播其他惡意軟體，如假防毒軟體和DNS變更木馬。這兩種殭屍網路都和點擊詐騙( clickjack）有關

在趨勢科技之前的文章裡，我們提到特定的ZeroAccess變種如何導向到和TDSS相關的網址，顯示出這兩個殭屍網路共享了部分的命令與控制（C＆C）基礎設施。由於我們在監控兩個殭屍網路之間的連結，因此發現ZeroAccess客戶感染和通訊數量在剷除行動後的第二天有顯著地下降。在這些感染ZeroAccess的系統裡，只有2.8％嘗試（但失敗了）跟其C＆C伺服器進行通訊。

圖一、2013年11月到12月的ZeroAccess活動

繼續閱讀