微軟控告殭屍網路ZeuS、SpyEye和Ice IX幕後黑手
作者:趨勢科技資深分析師Rik Ferguson
經過允許使用bixentro的Flickr相片
在提交給法院長達162頁的文件裡,微軟和金融服務與資訊服務分析中心(FS-ISAC) – 一個代表4400個金融機構的經貿團體,還有NACHA – 電子付款協會一起控告了ZeuS、SpyEye和Ice IX殭屍網路/傀儡網路 Botnet背後的犯罪份子。
ZeuS、Ice-IX和SpyEye程式在網路犯罪史上有著漫長而惡名昭著的一席之地,ZeuS從2006年開始出現(2007年被告到法院),它要為數百個殭屍網路/傀儡網路 Botnet以及從消費者和企業的銀行帳戶中被竊取的數百萬英鎊負責。SpyEye原本是ZeuS的競爭對手,甚至當它發現目標電腦上有ZeuS存在,還會去移除它。但最近這兩個程式碼已經被合併成一個單一犯罪軟體了。
從微軟提交給法庭的資料,雖然說「John Does」仍然還是身分未明,但的確已經很努力的去挖掘這整個犯罪網路背後的龐大架構。它指出了三個ZeuS、SpyEye和Ice-IX的原始作者以及兩個後來開發者的身分,兩個PDF和Flash漏洞攻擊碼廠商,他們負責建立惡意檔案並將殭屍機器人放入你的電腦,三個網頁掛馬廠商,他們開發腳本來將假內容注入到合法的銀行網站,四個殭屍網路代管廠商和15個殭屍網路營運商,七個培養錢騾(money mules)的人,三個負責將盜取資金洗出的專家和一名負責處理從新被駭的受害者傳來的通知。
提交給法院的文件顯示惡意網路架構已經遍布了全球,從北美,到英國、德國,再到伊朗、香港,甚至寮國,一直到澳洲。總共有分布在35個註冊商的3357個網域都已經被確認跟「ZeuS殭屍網路」有關,這其中有1703個網域是在Verisign註冊。三月23日突擊搜查了兩個代管服務,查獲電腦也破壞了殭屍網路/傀儡網路 Botnet和犯罪活動。然而,也如同微軟所附註的,這次的行動只關閉了兩個IP地址和接管了800個監控中的網域(列在3357個網域之中),因此可以想見立即的效果可能非常的小。
當然,網路犯罪份子不僅僅是這39人,目前也還沒有人的身分被確認,但是這份起訴書已經描繪出了成熟的犯罪商業模式。犯罪份子像是Slavik和Gribodemon已經逍遙法外許多年了,我們希望這樣由資安公司和執法單位的跨國合作可以繼續下去,最終會對這些非法活動做出致命的一擊。
ZeuS追蹤計畫列出了分布在全世界,包含了806個ZeuS和Ice IX的命令與控制伺服器,其中有343個目前還在線上活動著。SpyEye追蹤計畫列出了全球487個伺服器,其中16個還在活動中。
@原文出處:Beginning of the end for ZeuS/SpyEye?
延伸閱讀:
DOWNAD/Conficker一歲生日回顧
原來駭客長這樣( 中國大陸篇)
半數遭受入侵的電腦持續受感染至少300天,且很可能被殭屍網路吸收
黑色產業鍊正夯:每月超過4萬8千種假防毒軟體,一億台電腦遭殭屍網路控制
DOWNAD/Conficker一歲生日回顧
原來駭客長這樣( 中國大陸篇)
半數遭受入侵的電腦持續受感染至少300天,且很可能被殭屍網路吸收
黑色產業鍊正夯:每月超過4萬8千種假防毒軟體,一億台電腦遭殭屍網路控制
Botnet 殭屍網路:無聲的主流威脅恐使電腦使用者成罪犯
Ilomo 殭屍網路伺機連接 4,000 多個含網路銀行在內的網站
傀儡網路最愛冒充 76 個女孩在情人節示愛
跳出清涼視窗,有可能是殭屍網路 Botnet告訴你:我來了!!(俄國殭屍網路系列報導1)
殭屍網路提供本地化垃圾郵件服務,還提供價目表!!(俄國殭屍網路系列報導2)