趨勢科技協助FBI(美國聯邦調查局),將惡名昭彰 SpyEye 銀行木馬駭客繩之於法

前幾日美國司法部宣布惡名昭彰的SpyEye銀行惡意軟體作者 – Aleksandr Andreevich Panin(又名Gribodemon或Harderman)已經為製造和散佈SpyEye而認罪。趨勢科技在這次的調查中扮演關鍵角色,和美國聯邦調查局合作這個案子很長一段時間。各團體都花費相當大的力氣來讓此次調查活動可以圓滿結束。

hacker 偷錢

我們的調

Panin的共犯之一是Hamza Bendelladj,,他的暱稱是bx1。Panin和Bendelladj都參與建立和設置各SpyEye網域和伺服器,這也是趨勢科技獲得這對犯罪伙伴資訊的來源。雖然SpyEye的建立僅僅有很少的文件公開,我們還是仍然能夠拿到這些文件並取得文件中的資訊,其中包括(比方說)伺服器控制者的電子郵件地址。

我們將這些設定檔所取得資料和我們在其他地方所收集到的資料進行關聯。例如我們潛入各個已知Panin和Bendelladj會訪問的地下論壇。只要閱讀他們所貼出來的文章,他們會在不經意間透露像電子郵件地址、ICQ號碼或Jabber號碼等資訊,這些都是可能揭露他們真實身份的資料。

例如,我們發現了C&C伺服器lloydstsb.bz也和SpyEye程式和設定檔有關。解密過的設定檔包含了代碼bx1。該伺服器上的設定檔也包含了電子郵件地址。第二個設定檔(也用了bx1)被發現含有virtest的登錄憑證 ,這是網路犯罪份子所使用的偵測測試服務。所有的資料都被趨勢科技用來幫助美國聯邦調查局找出他的真實身份。

圖一、設定檔

接下來在地下論壇的貼文顯示Bendelladj和SpyEye的關連比他所公開宣稱的還要更深入:

圖二、地下論壇貼文

下圖顯示出各種不同網站、電子郵件地址和Bendelladj所使用惡意軟體間的關聯:

圖三、此圖顯示各網站、電子郵件地址和惡意軟體間的關係

調Gribodemon

趨勢科技對Panin進行了相同的調查。就跟他的犯罪夥伴一樣,我們發現Panin可以連結到各網域名稱和電子郵件地址。

雖然Panin認為自己很善於隱藏踪跡,但現在很明顯地,他沒有自己想像的那麼高明。大概在他販賣SpyEye的時候,他也變得非常草率和不小心,儘管使用多個代號和電子郵件地址,趨勢科技還是能夠與美國聯邦調查局共享所有資訊,並幫忙找到他的真實身份。

Panin在2009年開始販賣SpyEye,並迅速成為較知名ZeuS的強力競爭對手。在當時,它因為成本較低和可增加客製化外掛程式等ZeuS並未提供的功能而受到歡迎。在2010年底,我們在兩篇文章(第一部第二部)裡好好的介紹了SpyEye的控制面板。

有些網路犯罪分子並不喜歡SpyEye,因為它和ZeuS比較起來有較糟的編碼,但還是有人喜歡SpyEye所帶來的功能。無論如何,SpyEye在網路犯罪社群裡已經足夠有名,當ZeuS作者Slavik離開時,他將程式碼給了Panin。

Panin利用這程式碼來建立新版本的SpyEye,它結合了舊版本SpyEye和Zeus的功能。另外,他將部分程式編寫工作外包給他的同伴(如Bendelladj )以提高SpyEye的品質。後來的版本在底層程式碼有顯著的改變,包括使用來自ZeuS的程式碼

這次逮捕事件顯示安全廠商如何與執法單位密切合作,可以達成有效的結果。將目標放在網路犯罪份子本身而非他們的伺服器,可以確保對整個地下世界造成永久性的破壞,而不只是像讓服務停擺所造成相對快速和容易修復的損害。我們認為這是攻擊網路犯罪和讓所有使用者上網更安全的作法。

@原文出處:Eyeing SpyEye作者:Loucif Kharouni(資深威脅研究員)