俗話說得好,戲法人人會變,各有巧妙不同。在做資安事件調查時,也會用上許多不同的方式來進行,加上各種的專業知識。特別是在調查使用多個組件的惡意軟體加上難搞C&C網路的攻擊事件時。
但即使分析方法會改變,可能透過反向工程或是殭屍網路/傀儡網路 Botnet分析,但最重要的還是要了解威脅本身。
趨勢科技在監控KOOBFACE活動和技術分析上交出很棒的成績單。讓我們對這殭屍網路有密切的了解,也使我們可以快速反應,並且用適當的解決方案來保護我們的客戶。
Koobface的高峰期
在高峰期時,KOOBFACE最為人所知的就是(在當時)會透過急速成長的社群網路Facebook來傳播。但是當然,還不止於此。
在2008到2009年間,Facebook剛剛成為社群網路的主導者,也正開始和其他同類型的社群網站拉開距離(像是MySpace、Twitter、Friendster和myyearbook等等)。
我們對Koobface的第一份研究報告提供了詳細的說明,KOOBFACE並不只是在Facebook上散播,在這段期間還會利用其他流行的社群網站。趨勢科技的報告還指出,一旦系統被KOOBFACE惡意軟體所感染,會被安裝另外的惡意軟體到系統內,然後利用受駭使用者的網路流量來賺錢,或是將這受駭電腦變成Koobface殭屍網路/傀儡網路 Botnet的一部分。
Koobface和它的C&C網路
趨勢科技的新發現讓我們發表了第二份研究報告,更深入的探討C&C網路和通訊過程。在這裡,我們發現了 KOOBFACE 駭客集團所能控制的各個層面。從巧妙地利用受駭使用者來發出社交工程陷阱攻擊用的垃圾訊息,到 KOOBFACE 駭客集團所使用的各種組件、帳號、網路架構和指令。
