今年 10 月 13 日,美國和英國執法單位對惡名昭彰的 DRIDEX殭屍網路採取行動,希望能終止這項知名的網路銀行威脅。美國賓夕法尼亞州西區律師 David J. Hickton 稱這次的行動為「技術性中斷及打擊全世界最惡劣的惡意程式威脅之一。」
【延伸閱讀】FBI和趨勢科技合作,讓銀行惡意軟體 DRIDEX 停擺
英國國家打擊犯罪局 (National Crime Agency,簡稱 NCA) 則稱此行動為「一項針對 Dridex 各版本及其幕後集團永久、持續的打擊行動,這些集團都躲藏在世界上難以發現的角落。」
雖然這項行動已經將 DRIDEX 擊倒,這離消滅它還很遠。在 DRIDEX 遭到破獲之後,趨勢科技估計受害使用者的數量已經降到破獲之前的 24%。這是根據 DRIDEX 感染數量在破獲前一星期和破獲後一星期的比較結果。
在深入觀察這項數據之後,我們發現受害者的分布情況也出現些許變化。尤其,美國的受害者數量大幅下降,從原本的將近 30% 降至不到 14%。
圖 1:受害者分布 (破獲前)台灣也列入其中 繼續閱讀
在前面的部落格文章中,我們提到Shellshock/ Bash 漏洞 針對某些機構發動DDoS攻擊,可以看出此漏洞對於現實世界影響的嚴重性。 Shellshock/ Bash 漏洞 攻擊程式所帶來的各種不同惡意程式(PERL_SHELLBOT.WZ、ELF_BASHLITE.A、ELF_BASHLET.A)會連到幾個相同的C&C伺服器。
對於那些剛剛加入的朋友,Shellshock/ Bash 漏洞 是個 Bash shell上的漏洞,Bash是讓使用者透過命令列來存取系統服務的使用者介面。如果用在惡人之手,攻擊者可以利用Shellshock在線上系統和伺服器執行惡意腳本 – 危害一切連到這些地方的東西。而且別誤會,此漏洞是很有可能被廣泛地用在破壞上,因為它影響到Linux、BSD和Mac OS X的作業系統。
一個和 ELF_BASHLITE.SM 及 ELF_BASHLITE.A 相關的 C&C伺服器 – 89[點]238[點]150[點]154[冒號]5,我們發現它也被 ELF_BASHWOOP.A所使用,被用在進行「Botnet傀儡殭屍網路」網路攻擊的後門程式。唯一的區別是它連接的端口 – ELF_BASHWOOP.A連到端口9003,而ELF_BASHLITE.SM連到端口5。根據我們的研究結果,此一C&C伺服器位在英國。
另一個C&C伺服器 – 162[點]253[點]66[點]76[冒號]53被ELF_BASHLITE.A和ELF_BASHLITE.SM所用,此C&C伺服器位於美國。
下面是連到這些C&C伺服器的國家列表:
圖1&2、C&C伺服器的地圖和表格 繼續閱讀
雖然垃圾郵件 殭屍網路是以發送不受歡迎的廣告郵件著稱,尤其是那些賣假藥的公司,但他們同時也是散播惡意軟體不可或缺的一部分。除了發送自己的惡意軟體好提高自己殭屍網路的規模,安裝其他的惡意軟體也讓這些幕後黑手們可以通過按次付費安裝模式來賺錢。
趨勢科技已經研究過惡名昭彰的Asprox垃圾郵件殭屍網路的運作模式。Asprox以發送偽裝成來自快遞公司(像是FedEx、DHL和美國郵局)的垃圾郵件(SPAM)而著稱。雖然Asprox殭屍網路只在過去幾年間被偶爾的提到,但其他類似手法的攻擊活動,還有利用知名航空公司的假機票詐騙(像是達美航空和美國航空)都受到相當的關注。
這些攻擊活動很少跟Asprox殭屍網路相連結。甚至更少看到關於這殭屍網路運作的分析報告。這怎麼可能呢?Asprox進行了一些修改讓自己變得更有效果: