趨勢科技最近在地下論壇看到了這篇貼文:
圖一、地下論壇貼文
這篇在俄羅斯的貼文是在廣告一個叫做「BlackOS」的新產品。和名字不同,這不是一個作業系統,但它肯定是個「黑」產品,或該說是惡意產品:它是用來管理和將惡意/淪陷網站的網路流量重新導向其他惡意網站。
這類型的產品在地下社群中並不算新 – 像是Brian Kerbs在大約兩年前就談過類似的iFrameservice.net網站。BlackOS本身也不是個全新的產品。它是早先「Tale of the North」軟體的新版本,安全研究人員在2013年9月就曾經提過這軟體。
BlackOS的能力
BlackOS和其它類似產品是設計用來自動化管理和攻擊網站流程。讓網路犯罪份子可以從受害者身上擠出最大利潤。它擁有網頁介面用來管理網路流量和其他功能。它可以處理大量的網路流量,並注入內置框架(iframe),並將流量重新導到使用者指定的地方。
下面是BlackOS的部分功能,來自地下論壇廣告內的說明(從原本的俄文翻譯過來):
1) 實作轉換流量的最佳化模式。利用地域性使用者代理程式來散佈和安裝
2) 有辦法去拒絕出售iframe流量
3) 自動偵測PR網域,連結和實作出對於搜尋引擎結果有效的影響
4) 得到一份快速、穩定而且是SOCKS 5的私人列表,提供給你任何需要使用代理程式的軟體
5) 盡快地排序帳號列表
6) 透過驗證來上傳你的腳本。包含反向Shell和大量執行指令 – set / code cleanup,eval (),system (),sendmail和檢查antiDDOS
7) 在你的伺服器上執行弱點掃描
8) 在遠端內容管理系統上執行解析資料庫
管理帳號的新功能,加上功能強大的搜尋引擎最佳化工具和直觀的介面給新手站長和專家,讓我們期待BlackOS可以在你的工作內容佔據應有的位置。
BlackOS並不便宜。它要價一年3,800美元,重新安裝/重製費用是100美元。對於有預算考量的網路犯罪份子,可以用每月100美元的價格租用基本配置(16GB記憶體,八核心CPU和SSD硬碟)。(BlackOS的開發者只接受用Bitcoin、Litecoin或Perfect Money付費)。
BlackOS的功能之一是內建線上掃描程式,可以檢查網站是否已經用各種安全解決方案加以封鎖,如下圖所示:
圖二、線上掃描程式(點擊上圖以看全尺寸的大圖)
正如我們先前所提到,BlackOS似乎是之前Tale of the North套件的更新版。有人可能會問為什麼,還有,它是以「新」軟體的身份來販賣嗎?為此,我們必須來看看Tale of the North和其作者 – Peter Severa。
Peter Severa和Tale of the North
Peter Severa,他在許多地下論壇都用名稱Severa,一開始在2003年是名垃圾郵件發送者。他曾經利用各種垃圾郵件殭屍網路/傀儡網路 Botnet來發送垃圾郵件,包括Waledac和Kelihos殭屍網路。事實上,他目前正面臨使用後者的刑事指控。不過這並沒有嚇阻到他,到今天他仍然活躍在地下世界。
他的ICQ和Jabber帳號在地下社群裡眾所皆知,他同時也有一個WebMoney帳號,雖然該帳號已經被封鎖。趨勢科技認為現在這被封鎖的帳號是Severa用來隱藏自己身分的其他網路身份在使用。我們也認為Severa有一個新的WebMoney帳號。
Severa開發Tale of theNorth來管理點入他垃圾郵件連結所產生的使用者網路流量。比方說,他可以將使用者根據地理位置重新導到各個網站。
不過,最近Severa和其他參與Tale of the North的人之間似乎起了糾紛。根據下面的地下論壇留言,Severa離開了專案,而其他開發者則用BlackOS的名稱繼續開發:
圖三、地下論壇留言
(點擊上圖以看全尺寸的大圖)
該留言的部分翻譯如下:
BlackOS之前用North Tale的名稱販賣。我們有過一個團隊但是發生了衝突,所以我關閉了專案。現在這系統是用BlackOS的名稱銷售,而我和它之間沒有關係。我對於Manager/BlackOS沒有任何要求;我們之間的問題都已經完全解決,我祝他之後的開發和軟體銷售成功。這是個非常酷的產品,在市場上無人能比,需要相當多的人力時間開發
我們對於現在是誰在銷售BlackOS沒有太多資料。他的Jabber帳號是公開的(所以想成為客戶可以聯絡他),他用了Manager這個名稱。除此之外,還不清楚他的身份。
Severa怎麼了?他一直沒有離開地下社群。他現在正在運行兩個活躍的合作計劃,兩個都用他名字的一部分來命名:SevPod和SevSka – 會散播垃圾郵件僵屍網路的惡意軟體。
在二月,Severa在論壇貼文裡像這樣的廣告SevPod:
圖四、SevPod廣告
(點擊上圖以看全尺寸的大圖)
部分翻譯如下:
我想向你介紹這個新專案 – 一個解決替換問題的私人合作,{合作專案網址}。我要開發一個真正長期的替換方式,讓你的下載可以帶給你多個月的收入,就算在你停止發貨之後。不像其它替換方式,我在幾乎所有國家都有出價。當然,這世上並沒有奇蹟,你最大的收益會來自美國、加拿大、澳洲、英國和西歐國家,但第三世界國家會為你帶來相當長時間的穩定收入!我從來源供應商所收到點擊收入的95%會支付給你的廣告。
SevPod的關於網頁繼續如下:
…是最新替換SERP(搜尋引擎結果頁面)的革命性合作計劃。我們從我們的來源供應商取得最高的出價,我們所收到金額的95 %會給我們的客戶。轉換幾乎來自於世界各地的點擊流量。我們也使用更現代的方式來將流量轉換成金錢,像是根據使用者在網站上的活動付費,根據觀看次數和不同內容互動來付費。跟點擊僵屍流量不同,我們使用真實流量,所以我們的流量更加昂貴,並且會為你帶來收入很長一段時間。
從這些貼文和網站看來,很顯然地,Severa仍然參與流量重新導向和垃圾郵件業務,雖然可以說他更專注在網路犯罪的「業務」方面,更甚於技術方面。
這篇文章所聚集的資料來自各種不同的地下來源,儘管這一切基本上都是公開的。我們敦促任何調查Severa或BlackOS開發者的執法單位來聯絡我們,因為我們有沒有放入這篇文章的額外資料。
@原文出處:New BlackOS Software Package Sold In Underground Forums