從 Koobface 看殭屍網路的百變戲法

俗話說得好,戲法人人會變,各有巧妙不同。在做資安事件調查時,也會用上許多不同的方式來進行,加上各種的專業知識。特別是在調查使用多個組件的惡意軟體加上難搞C&C網路的攻擊事件時。

 但即使分析方法會改變,可能透過反向工程或是殭屍網路/傀儡網路 Botnet分析,但最重要的還是要了解威脅本身。

 趨勢科技在監控KOOBFACE活動和技術分析上交出很棒的成績單。讓我們對這殭屍網路有密切的了解,也使我們可以快速反應,並且用適當的解決方案來保護我們的客戶。

 Koobface的高峰期

 在高峰期時,KOOBFACE最為人所知的就是(在當時)會透過急速成長的社群網路Facebook來傳播。但是當然,還不止於此。

 在2008到2009年間,Facebook剛剛成為社群網路的主導者,也正開始和其他同類型的社群網站拉開距離(像是MySpace、Twitter、Friendster和myyearbook等等)。

 我們Koobface的第一份研究報告提供了詳細的說明,KOOBFACE並不只是在Facebook上散播,在這段期間還會利用其他流行的社群網站。趨勢科技的報告還指出,一旦系統被KOOBFACE惡意軟體所感染,會被安裝另外的惡意軟體到系統內,然後利用受駭使用者的網路流量來賺錢,或是將這受駭電腦變成Koobface殭屍網路/傀儡網路 Botnet的一部分。

KOOBFACE並不只是在Facebook上散播,在這段期間還會利用其他流行的社群網站

 Koobface和它的CC網路

 趨勢科技的新發現讓我們發表了第二份研究報告,更深入的探討C&C網路和通訊過程。在這裡,我們發現了 KOOBFACE 駭客集團所能控制的各個層面。從巧妙地利用受駭使用者來發出社交工程陷阱攻擊用的垃圾訊息,到 KOOBFACE 駭客集團所使用的各種組件、帳號、網路架構和指令。

 KOOBFACE 駭客集團所能控制的各個層面。從巧妙地利用受駭使用者來發出社交工程陷阱攻擊用的垃圾訊息,到 KOOBFACE 駭客集團所使用的各種組件、帳號、網路架構和指令

  Continue reading “從 Koobface 看殭屍網路的百變戲法”

KOOBFACE靠網路廣告賺黑心錢的秘密:使用流量導向系統

KOOBFACE 殭屍網路/傀儡網路 Botnet會用安裝次數付費(Pay-Per-Install,PPI)和點擊次數付費(Pay-Per-Click,PPC)的商業模式來賺錢。僅僅在2009年,KOOBFACE這幫人就賺了約兩百萬美金。

 但這顯然還不夠,因為這網路黑幫剛剛升級了他們的殭屍網路/傀儡網路 Botnet網路架構,使用先進的流量導向系統(Traffic Direction System,TDS)來處理導向下游網站的流量。他們還推出新元件來增加導向他們TDS的網路流量,這也意味著會讓他們賺進更多的錢。

 KOOBFACE黑幫的TDS會將流量導往能賺仲介費的廣告網站或是其他幾個下游網站。要注意的是,這些付了仲介費的像是廣告網站或下游網站還是會透過增加的網路流量來賺回更多的錢。想更清楚地了解新TDS如何讓這集團賺更多,請看看下圖還有所列出的步驟: