您聽過殭屍網路碼?您知道您家裡的物聯網裝置很有可能在無意間被操縱用來惡意攻擊嗎?今天,趨勢科技3C好麻吉來向您介紹一種和您生活息息相關的駭客攻擊手法~
標籤: botnet
如何檢查自己的網站是否為StealRat殭屍網路的一部分?
好幾個月來,趨勢科技一直在積極監視著稱為StealRat的垃圾郵件殭屍網路/傀儡網路 Botnet網路,它的運作主要是利用被入侵淪陷的網站和系統。我們持續地監視著其運作,並確定了約有195,000個網域和IP地址已經淪陷。這些淪陷網站的共通點是用了有弱點的內容管理系統,像是WordPress、Joomla和Drupal。
在本篇文章裡,我們會討論網站管理員可以如何檢查他們的網站是否已經淪陷,變成StealRat殭屍網路/傀儡網路 Botnet的一部分。
第一步是檢查是否有垃圾郵件發送腳本的存在,通常會用s 繼續閱讀
“殭屍出沒,請注意!!”從交通系統等基礎建設被駭談起
殭屍(步履蹣跚,會吃人肉的那種,不是出現在電腦上的那種)最近真是風靡一時。出現在電視影集和電視遊樂器上。甚至還有殭屍會在大街上散步。無論為什麼,殭屍都是我們現在喜歡用來嚇自己的有趣題材。
所以當人們想要作個有趣的惡作劇時,會選擇殭屍這題材也就毫不奇怪了。駭客入侵和遊戲間有些相似之處,我們最近也在殭屍上看到這一點。有人駭入交通號誌系統去警告司機「前有僵屍」。上禮拜,我們看到美國蒙大拿州大瀑布城的一家地方電視台 – KRTV的緊急警報系統被駭客入侵,送出警報給看電視新聞的居民:「死人從墳墓裡爬起來,開始攻擊活人。」
我們看這些故事時會邊笑邊分享,因為聽起來蠻聰明有趣的。但其中有危險的部分,這可不是開玩笑的。
關鍵基礎設施可能會被入侵
這些事件的重點是重要公共安全通訊基礎設施被入侵,然後被用在別的目的上。
我們都知道,當重要的公共安全通訊基礎設施被以「突擊(swatting)」的方式濫用時,可能會出現可怕的後果。突擊指的是人們用假的求助電話報警。結果讓全副武裝的特警隊(SWAT)衝進不知情而無辜的人家裡。雖然在這些事件裡沒有人被殺害,但那是因為有良好的訓練和運氣好。但事實上這系統已經受到破壞,將全副武裝的警隊送去他們認為有危險且可能需要使用致命武器的地方時,會讓別人的生命陷入危險中。
要認識到公路號誌和緊急警報系統被駭的風險,就必須專注在一個事實上,現在我們所看到的假消息都很有趣,同時荒謬而令人難以置信。我們會發現這是個笑話而不會採取行動。但如果這消息雖然是捏造的,但卻像是真的時,會發生什麼事呢?
從 Koobface 看殭屍網路的百變戲法
俗話說得好,戲法人人會變,各有巧妙不同。在做資安事件調查時,也會用上許多不同的方式來進行,加上各種的專業知識。特別是在調查使用多個組件的惡意軟體加上難搞C&C網路的攻擊事件時。
但即使分析方法會改變,可能透過反向工程或是殭屍網路/傀儡網路 Botnet分析,但最重要的還是要了解威脅本身。
趨勢科技在監控KOOBFACE活動和技術分析上交出很棒的成績單。讓我們對這殭屍網路有密切的了解,也使我們可以快速反應,並且用適當的解決方案來保護我們的客戶。
Koobface的高峰期
在高峰期時,KOOBFACE最為人所知的就是(在當時)會透過急速成長的社群網路Facebook來傳播。但是當然,還不止於此。
在2008到2009年間,Facebook剛剛成為社群網路的主導者,也正開始和其他同類型的社群網站拉開距離(像是MySpace、Twitter、Friendster和myyearbook等等)。
我們對Koobface的第一份研究報告提供了詳細的說明,KOOBFACE並不只是在Facebook上散播,在這段期間還會利用其他流行的社群網站。趨勢科技的報告還指出,一旦系統被KOOBFACE惡意軟體所感染,會被安裝另外的惡意軟體到系統內,然後利用受駭使用者的網路流量來賺錢,或是將這受駭電腦變成Koobface殭屍網路/傀儡網路 Botnet的一部分。
Koobface和它的C&C網路
趨勢科技的新發現讓我們發表了第二份研究報告,更深入的探討C&C網路和通訊過程。在這裡,我們發現了 KOOBFACE 駭客集團所能控制的各個層面。從巧妙地利用受駭使用者來發出社交工程陷阱攻擊用的垃圾訊息,到 KOOBFACE 駭客集團所使用的各種組件、帳號、網路架構和指令。
如何檢查自己是否為FBI 破獲史上最大殭屍網路犯罪行動的受害者?
趨勢科技和美國聯邦調查局 宣布破獲了一個史上最大殭屍網路/傀儡網路 Botnet犯罪集團,被美國聯邦調查局稱為「Operation Ghost Click」。按這裡可參考聯邦調查局的新聞稿,(請參考–趨勢科技協助 FBI 破獲史上最大的網路犯罪始末)。
這次的聯合行動針對一個根深蒂固的犯罪集團,成效是非常顯著的,也代表了史上最大的網路犯罪破獲行動。經由趨勢科技和其他夥伴所提供的可靠情報,加上跨國執法單位的合作,成功的逮捕了六個人,將位在一百多個國家的超過四百萬名受害者從殭屍網路/傀儡網路 Botnet的危害中拯救出來,關閉了超過一百台用在犯罪活動的伺服器,而且也將對無辜受害者的影響降到最低。
如果你擔心自己可能是這犯罪活動的受害者,FBI聯邦調查局提供了一個線上工具,讓你可以檢查自己的DNS伺服器設定是否曾經被篡改。
首先,你需要看看自己目前的DNS伺服器設定:
如果使用Windows,點選「開始」按鈕或是螢幕左下角的Windows圖示來打開選單,在搜尋框中輸入「cmd」然後按Enter(或是點選「開始」,然後點選「執行」),應該會出現一個有白色文字的黑色視窗。在這視窗中輸入「ipconfig /all」然後按Enter。找到有「DNS Servers」的那一行,將它顯示的IP位址抄下來。