從 Koobface 看殭屍網路的百變戲法

俗話說得好，戲法人人會變，各有巧妙不同。在做資安事件調查時，也會用上許多不同的方式來進行，加上各種的專業知識。特別是在調查使用多個組件的惡意軟體加上難搞C＆C網路的攻擊事件時。

但即使分析方法會改變，可能透過反向工程或是殭屍網路/傀儡網路 Botnet分析，但最重要的還是要了解威脅本身。

趨勢科技在監控KOOBFACE活動和技術分析上交出很棒的成績單。讓我們對這殭屍網路有密切的了解，也使我們可以快速反應，並且用適當的解決方案來保護我們的客戶。

Koobface的高峰期

在高峰期時，KOOBFACE最為人所知的就是（在當時）會透過急速成長的社群網路Facebook來傳播。但是當然，還不止於此。

在2008到2009年間，Facebook剛剛成為社群網路的主導者，也正開始和其他同類型的社群網站拉開距離（像是MySpace、Twitter、Friendster和myyearbook等等）。

我們對Koobface的第一份研究報告提供了詳細的說明，KOOBFACE並不只是在Facebook上散播，在這段期間還會利用其他流行的社群網站。趨勢科技的報告還指出，一旦系統被KOOBFACE惡意軟體所感染，會被安裝另外的惡意軟體到系統內，然後利用受駭使用者的網路流量來賺錢，或是將這受駭電腦變成Koobface殭屍網路/傀儡網路 Botnet的一部分。

Koobface和它的C＆C網路

趨勢科技的新發現讓我們發表了第二份研究報告，更深入的探討C＆C網路和通訊過程。在這裡，我們發現了 KOOBFACE 駭客集團所能控制的各個層面。從巧妙地利用受駭使用者來發出社交工程陷阱攻擊用的垃圾訊息，到 KOOBFACE 駭客集團所使用的各種組件、帳號、網路架構和指令。

也在這個階段，我們破解了C＆C網路的通訊協定和指令，以監視殭屍網路/傀儡網路 Botnet的活動。我們發現他們所使用的Facebook和Google帳號，打破了KOOBFACE駭客集團是利用印度廉價勞工來破解驗證碼的理論。也了解到我們這些安全專家是在和KOOBFACE 殭屍網路/傀儡網路 Botnet 背後的真人在對抗，因為嘗試去拆除網路或是加以偵測都會在數小時或數天後就被規避了。

但我們並不認為研究已經完結，如果我們不能夠搞清楚到底發生了什麼事。沒有人會花費這麼多的時間和精力而沒有任何目的。所以剩下的問題是：KOOBFACE 駭客集團到底要的是什麼？

利用Koobface賺錢

趨勢科技發現了這問題的答案，也提出第三份研究報告來報告我們的成果。我們收集了足夠的證據去了解KOOBFACE駭客集團參與了許多的犯罪活動，像是安裝假防毒軟體，點擊詐欺，資料竊取和線上交友的身分詐騙。

也在這時候，我們和廣大的安全社群做情報分享和合作。像是Koobface這麼大的組織運作需要其他研究人員、調查人員和各相關單位的專業知識才能加以剷除。因此，我們接觸了像Jan Droemer的獨立研究員，跟Facebook和Google等各組織合作，甚至也包括了競爭對手卡巴斯基和Sophos的研究人員。當然，好幾個執法單位也都有參與在其中。

Koobface的演變

在這些年來，我們可以自豪地說，因為趨勢科技的努力跟認真，KOOBFACE一直都在我們的監視雷達之下。趨勢科技的第四份Koobface報告，仔細的描述了KOOBFACE駭客集團如何變更C＆C架構、修改惡意軟體程式碼、改進後端服務以更有彈性地下架和逃避簡單的封鎖/偵測技術。

KOOBFACE吸了更多血

為了進一步證明趨勢科技對這一切的承諾，我們在上個月發表了第五份的研究報告，詳述KOOBFACE駭客集團如何因應Facebook更加嚴格的安全檢查，利用Twitter和BlogSpot（而非Facebook）和TDS（Traffic Direction System，流量導向系統）來轉移使用者的網路流量並用以賺錢，來維持該集團的現金流量。