趨勢科技協助 FBI 破獲史上最大殭屍網路始末: DNS Changer(域名系統綁架病毒)與數百萬美金的不法所得

在2011年11月8日,美國聯邦調查局 FBI和愛沙尼亞警方在趨勢科技和其他夥伴的合作下攻破了一個歷史悠久,控制了超過四百萬台電腦的「Botnet傀儡殭屍網路」,在這次的行動,被美國聯邦調查局稱為「Operation Ghost Click」,有兩個位在紐約和芝加哥的資料中心被搜索,一個由100多台伺服器所組成的命令與控制(C&C)基礎網路被斷線。在這同時,愛沙尼亞警方也在塔爾圖逮捕了數名成員。而這裡是聯邦調查局的新聞稿。

這個「Botnet傀儡殭屍網路」,由中毒電腦所組成,這些電腦的DNS設定都被改成國外的IP位址。DNS伺服器能將易讀好記的網域名稱解析成IP位址。大部分網路使用者都會自動使用網路服務業者的DNS伺服器。

而DNS變更木馬會偷偷地修改電腦設定,去使用國外的DNS伺服器。這些 DNS伺服器是由惡意人士所設立,用來將特定的網域解析成惡意網站的IP位址。因此,受害者會在不自覺的情況下被導到惡意網站。

犯罪集團可以透過很多方法來利用這個DNS Changer「Botnet傀儡殭屍網路」,賺錢,包括更換受害者所訪問的網站廣告,劫持搜尋結果或是植入其他惡意軟體等。

趨勢科技協助 FBI 破獲史上最大的網路犯罪

趨勢科技在2006年就發現了誰最有可能是這DNS Changer「Botnet傀儡殭屍網路」,的背後主腦。我們決定先保留這些資料而不公開,以便讓執法機構可以對這背後的犯罪集團採取法律行動。

現在主事者已經被逮捕,「Botnet傀儡殭屍網路」,也被移除了。我們可以分享一些過去5年來所收集的詳細情報。

Rove Digital

這個網路犯罪集團控制了每一個環節,從植入木馬到透過中毒的「Botnet傀儡殭屍網路」電腦來賺錢。它是一間愛沙尼亞的公司,稱為Rove DigitalRove Digital是許多其他公司(像是Esthost、Estdomains、Cernel,UkrTelegroup和許多較無人知的空殼公司)的母公司。

Rove Digital看起來是一個位在塔爾圖的正常IT公司,一個每天早上都有人來上班的辦公室。但實際上,這個在塔爾圖的辦公室控制著數以百萬計,位在世界各地的中毒電腦,每年都可以靠這些「Botnet傀儡殭屍網路」,獲取數百萬美金的不法所得。

Esthost,一家提供網站代管服務的經銷商,曾經在2008年的秋天上過新聞。當時它在舊金山的供應商 – Atrivo被迫關閉,而它也因此而斷線。大約也在同一時間,Rove Digital的一家網域註冊公司 – Estdomains也被ICANN取消了許可權,因為它的所有人 – Vladimir Tsastsin在他的家鄉愛沙尼亞因為信用卡詐欺而被定罪。

趨勢科技協助 FBI 破獲史上最大的網路犯罪 圖為Rove Digital殭屍網路集團的 CEO

  「Botnet傀儡殭屍網路」,集團Rove Digital的 CEO

繼續閱讀

如何檢查自己是否為FBI 破獲史上最大殭屍網路犯罪行動的受害者?

趨勢科技和美國聯邦調查局 宣布破獲了一個史上最大殭屍網路/傀儡網路 Botnet犯罪集團,被美國聯邦調查局稱為「Operation Ghost Click」。按這裡可參考聯邦調查局的新聞稿,(請參考–趨勢科技協助 FBI 破獲史上最大的網路犯罪始末)。

傀儡殭屍網路 botnet 常用無辜電腦當網路犯罪跳板

這次的聯合行動針對一個根深蒂固的犯罪集團,成效是非常顯著的,也代表了史上最大的網路犯罪破獲行動。經由趨勢科技和其他夥伴所提供的可靠情報,加上跨國執法單位的合作,成功的逮捕了六個人,將位在一百多個國家的超過四百萬名受害者從殭屍網路/傀儡網路 Botnet的危害中拯救出來,關閉了超過一百台用在犯罪活動的伺服器,而且也將對無辜受害者的影響降到最低。

 

如果你擔心自己可能是這犯罪活動的受害者,FBI聯邦調查局提供了一個線上工具,讓你可以檢查自己的DNS伺服器設定是否曾經被篡改。

 

首先,你需要看看自己目前的DNS伺服器設定:

 

如果使用Windows,點選「開始」按鈕或是螢幕左下角的Windows圖示來打開選單,在搜尋框中輸入「cmd」然後按Enter(或是點選「開始」,然後點選「執行」),應該會出現一個有白色文字的黑色視窗。在這視窗中輸入「ipconfig /all」然後按Enter。找到有「DNS Servers」的那一行,將它顯示的IP位址抄下來。

繼續閱讀

BBC 影片示範殭屍網路如何控制兩萬多台電腦

最新消息:一個名為「士兵」的網路罪犯利用殭屍網路成功入侵2萬5394個系統(8萬2999IP位置)。今年4月19日到6月29日間,這位俄國「士兵」就利用SpyEye殭屍網路成功入侵2萬5394個系統(8萬2999 IP 位置)。上週本部落格分享了趨勢科技協助 FBI 破獲史上最大的網路犯罪始末 , 也許大家還不是很了解殭屍網路/傀儡網路 Botnet 崔嘻小編整理了一些重點,跟大家分享。

殭屍網路/傀儡網路 Botnet另一個說法是殭屍網路,顧名思義受害電腦一旦被植入可遠端操控該電腦的惡意程式,即會像傀儡一般任人擺佈執行各種惡意行為,當一部電腦成為傀儡網路 殭屍網路/傀儡網路 Botnet的一部份時,意味著 殭屍網路/傀儡網路 Botnet操縱者可將募集到的龐大網路軍團當作機器人來遠端遙控,從事各種非法入侵近年來尤以藉著「網頁掛馬」(入侵合法網頁植入惡意連結)進行資料竊取危害甚遽。瀏覽網頁者在無法察覺的情況下,連線到殭屍網路背景植入間諜軟體等載惡意程式,並從此成為 殭屍網路/傀儡網路 Botnet的一員,繼續壯大殭屍網路軍團。

「有時候,電腦只要單純瀏覽一個遭到感染的網頁,或是開啟一封含有病毒附件的電子郵件,就會遭到 殭屍網路/傀儡網路 Botnet蠕蟲的入侵。」你可能覺得這事跟你的關係不大,來看 BBC 所做的實驗吧。說不定你也無形中幫駭客數鈔票,或是替他背黑鍋成為犯罪電腦而不自知。

許多例子是電腦遭到入侵變成跳板或加入殭屍網路/傀儡網路 Botnet而不自覺,這些「嫌犯」甚至被警察找上門還不知道電腦被入侵了。

BBC team exposes cyber crime risk 這文章中,說明BBC 從線上聊天室以便宜的價格購買一群遭到入侵與挾持的電腦,就是所謂的 殭屍網路/傀儡網路 Botnet 。藉以在一項深入追查全球網路犯罪的報導中,展示模擬犯罪者如何控制兩萬多台家用電腦。BBC在節目中示範了個人電腦遭到網路駭客入侵並控制的危險,並建議他們如何強化電腦安全 (這裡有影片) 。

BBC 在科技節目Click 中,下令這些被入侵的電腦發送垃圾郵件至該節目所安排的兩個測試電子郵件地址。 在幾小時內,這兩個電子郵件收件匣就開始塞滿數千封的垃圾郵件。

BBC 在預先取得同意之後,針對一個備用網站發動分散式阻斷服務攻擊 (Distributed Denial of Service,DDoS)。令人訝異的是,只需 60 台電腦左右就能將該網站的頻寬消耗殆盡。這也是駭客經常藉機向企業勒索高額贖金的手法,過去就有個CEO 藉此讓對手網站關閉,也有20 歲的駭客,藉此散播垃圾郵件並獲利。但他們都因此坐牢。相關案例請看:原來駭客長這樣關於殭屍網路/傀儡網路 Botnet

殭屍網路/傀儡網路 Botnet是網路犯罪者最常使用來從事詐欺與竊盜的主要管道,除此之外,殭屍網路/傀儡網路 Botnet還可用於針對商業網站發動聯合攻擊,讓這些網站無法使用。由於感染殭屍病毒多數沒有徵兆,一般受害者通常並不知道電腦已經遭受遠端控制。

殭屍網路/傀儡網路 Botnet 的威脅

FBI: Botnet 殭屍網路受害者超過 1 百萬人

全台有三分之一電腦遭植入殭屍程式 繼續閱讀

十個不虛擬化的理由 系列(5-2)

作者:趨勢科技雲端安全副總裁Dave Asprey.Dave Asprey

這是五篇系列文章的第二篇(第一篇在此),因為我有著和大型企業還有服務運營商合作進行虛擬化超過十年的經驗,加上曾經長時間的在最大的兩家虛擬技術廠商之一負責策略與規劃。我會在這系列文章中提出十種你需要考慮是否不要去虛擬化應用程式的可能狀況。

一、當它就是無法正常運作

有些應用程式會因為各種原因就是無法在虛擬環境下運作。雖然虛擬技術廠商對於這些特殊情況的支援已經越來越好了,而且一些新出現的技術像是I/O虛擬化也可以改善這種狀況。不過也請特別注意具有以下特點的應用程式:

高I/O的應用程式,像是資料庫或是其他需要經過調整以直接和底層硬體溝通的程式

  • 造成重度磁碟負荷的程式。(如果你真的需要進行虛擬化的話,請使用通透模式磁碟「Pass-Through Disk」,而不要用虛擬磁碟)
  • 使用網格運算或分散式平行運算等需要高速內部連結來進行重度運算的應用程式
  • 需要特殊介面卡卻又沒有虛擬環境下的驅動程式,或者是需要硬體鎖的應用程式
  • 重度依賴圖形運算的應用程式(特別是需要高階顯示卡的程式 )

繼續閱讀

手機成竊聽器?愈來愈多的手機間諜軟體公開販售!!

<2013/11/15 更新>今日蘋果日報報導指出高雄一名男子去年底販售竊聽手機的抓姦軟體,遭警方查獲,沒想到交保後變本加厲,再加入「竊取帳號密碼」的新功能,推出可竊取臉書、電郵帳號密碼,及攔截 LINE 的「升級版」軟體,男子還可到府安裝。高市一對三十多歲夫妻,因為太太晚歸,先生懷疑太太在外有「小王」,趁太太晚間回家洗澡時,偷拿太太的手機到樓下交給許嫌安裝竊聽軟體,太太的手機被植入之後,臉書、郵件,還有LINE的對話統統曝光。

=============================================================

高層手機險被駭! 外交部開會前「繳械」這篇報導中說過去為保密防諜,國防部和特勤中心官員,一律「手機繳出集中保管」,不過最近外交部,開會前也實施「手機集中繳械」,還做了可上鎖的「養機場格子」,因為國安單位監控發現,外交部等重要部會,常有異常訊號顯示,「高層」手機差點被遠端駭入,為防止機密外洩,外交部力行「保密措施」,重要外交談判,搬出「電波干擾器」,阻斷與會者手機訊號。

超過4000個針對行動裝置平台潛在的網路釣魚風險
超過4000個針對行動裝置平台潛在的網路釣魚風險

其實手機成竊聽器的案例,不只發生在高層,這個《小三與情人們的手機間諜戰》中,一個可追蹤手機位置與簡訊的Android間諜軟體下載次數高達10萬次,趨勢科技也曾介紹過手機成竊聽器!!冒充Google+ 圖示,駭你全都露,這是 繼側錄外撥電話,並將錄音傳送到某個遠端網站的Android 惡意程式ANDROIDOS_NICKISPY.A 和ANDROIDOS_NICKISPY.B 之後,另一個與ANDROIDOS_NICKISPY.A 程式碼結構相同的惡意程式

ANDROIDOS_NICKISPY.C,,除了少許不同之外,此程式行為上也和前者頗為類似。包含攔截簡訊,使用者手機的GPS定位和竊取eMail 等敏感資料,技高一籌的是它會自動接聽和祕密監聽電話等惡意行為。ANDROIDOS_NICKISPY.C 惡意程式運用了當時 Google 新近發表的社交網路 Google+ 來偽裝,試圖不讓使用者發現。所有上述服務都使用了 Google+ 圖示,而其應用程式本身則以 Google++ 的名稱來安裝。

ANDROIDOS_NICKISPY.C 惡意程式運用了當時 Google 新近發表的社交網路 Google+ 來偽裝,試圖不讓使用者發現。所有上述服務都使用了 Google+ 圖示,而其應用程式本身則以 Google++ 的名稱來安裝


越來越多的間諜軟體( Spyware)出現在應用商店(App Stores),特別是針對那些Android的使用者。其中一個被媒體特別報導的已經超越一般典型的間諜軟體,包括會轉發簡訊和將GPS資訊傳送出來。除了上述幾項,這個間諜軟體( Spyware)還會錄下受感染設備上的電話通訊。 

 跟其他Android惡意軟體會偽裝成合法的應用程式不同,這個軟體利用了社交工程陷阱。它將功能都公告出來並且將自己當成一個間諜工具在宣傳,使用者可以透過一個中國第三方應用商店來下載它。 

 

中國第三方應用商店提供下載的手機間諜軟體

 

 

中國第三方應用商店提供下載的手機間諜軟體

  繼續閱讀