在2011年11月8日,美國聯邦調查局 FBI和愛沙尼亞警方在趨勢科技和其他夥伴的合作下攻破了一個歷史悠久,控制了超過四百萬台電腦的「Botnet傀儡殭屍網路」,在這次的行動,被美國聯邦調查局稱為「Operation Ghost Click」,有兩個位在紐約和芝加哥的資料中心被搜索,一個由100多台伺服器所組成的命令與控制(C&C)基礎網路被斷線。在這同時,愛沙尼亞警方也在塔爾圖逮捕了數名成員。而這裡是聯邦調查局的新聞稿。
這個「Botnet傀儡殭屍網路」,由中毒電腦所組成,這些電腦的DNS設定都被改成國外的IP位址。DNS伺服器能將易讀好記的網域名稱解析成IP位址。大部分網路使用者都會自動使用網路服務業者的DNS伺服器。
而DNS變更木馬會偷偷地修改電腦設定,去使用國外的DNS伺服器。這些 DNS伺服器是由惡意人士所設立,用來將特定的網域解析成惡意網站的IP位址。因此,受害者會在不自覺的情況下被導到惡意網站。
犯罪集團可以透過很多方法來利用這個DNS Changer「Botnet傀儡殭屍網路」,賺錢,包括更換受害者所訪問的網站廣告,劫持搜尋結果或是植入其他惡意軟體等。
趨勢科技在2006年就發現了誰最有可能是這DNS Changer「Botnet傀儡殭屍網路」,的背後主腦。我們決定先保留這些資料而不公開,以便讓執法機構可以對這背後的犯罪集團採取法律行動。
現在主事者已經被逮捕,「Botnet傀儡殭屍網路」,也被移除了。我們可以分享一些過去5年來所收集的詳細情報。
Rove Digital
這個網路犯罪集團控制了每一個環節,從植入木馬到透過中毒的「Botnet傀儡殭屍網路」電腦來賺錢。它是一間愛沙尼亞的公司,稱為Rove Digital。Rove Digital是許多其他公司(像是Esthost、Estdomains、Cernel,UkrTelegroup和許多較無人知的空殼公司)的母公司。
Rove Digital看起來是一個位在塔爾圖的正常IT公司,一個每天早上都有人來上班的辦公室。但實際上,這個在塔爾圖的辦公室控制著數以百萬計,位在世界各地的中毒電腦,每年都可以靠這些「Botnet傀儡殭屍網路」,獲取數百萬美金的不法所得。
Esthost,一家提供網站代管服務的經銷商,曾經在2008年的秋天上過新聞。當時它在舊金山的供應商 – Atrivo被迫關閉,而它也因此而斷線。大約也在同一時間,Rove Digital的一家網域註冊公司 – Estdomains也被ICANN取消了許可權,因為它的所有人 – Vladimir Tsastsin在他的家鄉愛沙尼亞因為信用卡詐欺而被定罪。
「Botnet傀儡殭屍網路」,集團Rove Digital的 CEO
這些行動來自於外界的壓力,因為懷疑Esthost主要是提供服務給犯罪集團客戶。Rove Digital也被迫停止Esthost所提供的代管服務,但還是繼續著它的犯罪活動。事實上,Rove Digital的幕後黑手記取了教訓,他們在世界各地散佈C&C基礎網路,而且將之前放在Atrivo的大量伺服器搬到了有他們的伺服器在運作的紐約市Pilosoft資料中心。
在2008年時,大家都知道Esthost擁有許多的犯罪集團客戶。但是鮮為人知的是,Esthost和Rove Digital本身也參與網路犯罪。
趨勢科技知道Rove Digital不僅代管木馬,同時也控制了C&C伺服器和流氓 DNS伺服器,以及利用詐欺點擊來賺錢的DNS Changer殭屍網路。除了DNS變更木馬之外,Esthost和Rove Digital同時也散播假防毒軟體和木馬點擊器(Trojan Clicker),同時也涉及販賣禁藥和其他的網路犯罪,而這些就先不在這篇文章裡加以討論。
根據過去幾年來所收集的證據,毫無疑問的,Esthost和Rove Digital直接參與了網路犯罪和詐騙行為。我們的懷疑是因為看到了簡單卻強烈的跡象。
Cybercrime Activity Indicators
首先,在2006年,趨勢科技注意到好幾個DNS Change「Botnet傀儡殭屍網路」,的C&C伺服器位在 Esthost.com的子網域內。(例如國外流氓DNS伺服器的IP位址是寫死在DNS變更木馬的程式裡,是由dns1.esthost.com到dns52.esthost.com共52個網域來代管)。
而可以一次更新所有流氓DNS伺服器的後端伺服器位在dns-repos.esthost.com。提供假解碼器木馬程式的後端伺服器位在codecsys.esthost.com。所以除非是esthost.com網域被入侵了,不然就只有Esthost自己可以在他們的網域內添加這些具有相當暗示性名稱的子網域。當esthost.com關閉時,Rove Digital的C&C伺服器開始使用私人網域名稱,用.intra當結尾。我們可以從一台Rove Digital在美國的伺服器下載完整的.intra網域設定檔案。
在2009年,趨勢科技拿到了兩個 C&C伺服器上的硬碟備份,這些伺服器會在DNS變更木馬的受害者瀏覽網頁時置換廣告。在這硬碟上,趨勢科技發現了幾份Rove Digital員工的SSH公鑰。這些金鑰可以讓Rove Digital的員工用自己的私鑰登入登入C&C伺服器,而無需輸入密碼。從伺服器的日誌檔案中,我們可以得出結論,這些伺服器是從Rove Digital位在塔爾圖的辦公室來加以控制的。
Rove Digital同時也執行了一個假防毒軟體 / 惡意 DNS的聯盟計畫,稱為 Nelicash。我們下載了給假防毒軟體使用的網路架構。從Nelicash的C&C伺服器中,我們發現有關購買假防毒軟體受害者資料。
在這些受害者裡,有好幾筆測試訂單是Rove Digital員工從Rove Digital位在愛沙尼亞和美國的IP位址來的。這顯示了Rove Digital直接參與了假防毒軟體的銷售。
從同一個Nelicash C&C伺服器中,趨勢科技也拿到了一份詳細的計畫,關於如何在2010年和2011年佈署新的惡意 DNS伺服器。每一天,Rove Digital都會散播新的惡意軟體,用來改變系統的DNS設定到特定的國外伺服器。趨勢科技檢查了好幾天的DNS變更木馬,趨勢科技發現這些木馬完全按照他們的計畫來改變受害者的DNS設定。
趨勢科技其實收集了更多的證據,但這裡無法一一提到。而所有的研究結果全都指出Rove Digital的確有進行大規模的網路犯罪,也控制了一個大型的DNS Changer殭屍網路。
也因為如此,趨勢科技很高興的向大家報告,經過愛沙尼亞警察,FBI聯邦調查局,趨勢科技和其他夥伴之間的密切合作,我們成功的剷除了一個危險的殭屍網路。而且也讓這殭屍網路/傀儡網路 Botnet的幕後主腦被逮捕。儘管破獲Rove Digital的過程很曲折,也花付了許多精力。
趨勢科技成功地在早期就確認了Rove Digital的C&C網路架構和後端的基礎架構,並且持續監控這個C&C網路直到2011年11月8日。其他的合作夥伴也花了最大的努力以確保在可控制的範圍內移除殭屍網路/傀儡網路 Botnet,也讓受感染客戶的不便減到最低。
以下連結和本篇文章有關:
· 賺到一百萬,第一部 – 犯罪集團,流氓流量經紀人和竊盜點擊
· 網路犯罪資訊站
想要了解更多的資訊,Rik Ferguson在他的CounterMeasures部落格介紹了如何檢查自己是否是「Operation Ghost Click」犯罪活動的受害者。(中文請參考:如何檢查自己是否為FBI 破獲史上最大殭屍網路犯罪行動的受害者?)
@原文出處:Esthost Taken Down – Biggest Cybercriminal Takedown in History
作者:Feike Hacquebord(趨勢科技資深威脅研究員)
@延伸閱讀:
趨勢科技協助FBI破獲大型跨國網路犯罪案瓦解超過400萬Botnet 殭屍大軍
讓 57 萬台電腦遇駭的駭客集團 ROVE DIGITAL (DNS Changer開發者) 近 10 年的起落
《上網時間倒數中》FBI稱 57 萬電腦被駭,感染 DNS Changer 電腦, 7月 9 日後無法上網,即刻檢查!!~為何清除電腦上的DNS Changer(域名系統綁架病毒)很重要?
什麼是「Botnet傀儡殭屍網路」?
專門鎖定波蘭境內使用者的 Spyeye Bot 網路幕後操控伺服器
趨勢科技成功滲透並解除了一個 ZeuS Bot 網路幕後操縱伺服器
人肉搜尋找出操縱女童失蹤案新聞的殭屍網路元凶 -7年級的學生駭客
◎ 7月9日後您的網路還能正常連線嗎?
FBI稱全球約 57萬台電腦被駭, 7月9 後,中毒電腦不能上網!!
遭 Ghost Click DNS 竄改程式伺服器關閉倒數計時中搶救您電腦上網功能的黃金時間正一點一滴流失…
✔立即檢查
✔立即免費下載趨勢科技的PC-cillin 2012來掃瞄系統。清除您電腦上感染的 DNS 竄改木馬程式。
◎即刻加入趨勢科技社群網站,精彩不漏網
