解析漏洞攻擊與惡意植入的合作關(guān)系

作者：Nart Villeneuve 2011-03-07 14:46:38

本文將討論有關(guān)網(wǎng)絡(luò)犯罪套件（如漏洞攻擊工具組）如何讓不具專業(yè)技術(shù)的犯罪者也能建立僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet并且發(fā)動(dòng)惡意攻擊的。

本文是有關(guān)網(wǎng)絡(luò)犯罪套件（如漏洞攻擊工具組）如何讓不具專業(yè)技術(shù)的犯罪者也能建立僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet并且發(fā)動(dòng)惡意攻擊的討論文。

全球一些由數(shù)十萬臺(tái)個(gè)人電腦組成的大型僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet受到了相當(dāng)大的關(guān)注。但是，一些較小的僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet 網(wǎng)絡(luò)卻沒有引起太大的關(guān)心?，F(xiàn)在，網(wǎng)絡(luò)犯罪地下經(jīng)濟(jì)體系隨處可見一些用來建立和維護(hù) Bot 網(wǎng)絡(luò)并收取利潤(rùn)的工具和服務(wù)，只要花點(diǎn)錢就能買到。這些 DIY 式網(wǎng)絡(luò)自助犯罪工具套件，讓一些不具專業(yè)技術(shù)的歹徒也能架設(shè)并經(jīng)營(yíng)自己的僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet。

網(wǎng)絡(luò)上可找到的工具包括：專門利用訪問者系統(tǒng)的軟件漏洞而入侵其系統(tǒng)的漏洞攻擊套件，以及可將訪問者重新導(dǎo)至其他網(wǎng)站或至別處下載惡意程序的流量重導(dǎo)系統(tǒng)。

精密的惡意程序散播技巧

這類工具可讓僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet經(jīng)營(yíng)者彼此合作，或者參與聯(lián)合行動(dòng)。有了這類工具，現(xiàn)在，惡意程序的作者就能付費(fèi)請(qǐng)僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet網(wǎng)絡(luò)經(jīng)營(yíng)者代為將惡意程序安裝至受害者的電腦上。一個(gè)僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet可用來散播各式各樣的惡意程序，例如：SpyEye、ZeuS 或假殺毒軟件。

網(wǎng)絡(luò)犯罪者需要吸引訪問者連上他們的惡意網(wǎng)站，才能在訪問者的電腦上安裝惡意程序。為了吸引訪問者流量，僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet經(jīng)營(yíng)者通常會(huì)在地下聊天室或地下論壇上購買合法網(wǎng)站的 FTP 帳號(hào)密碼。此外，一旦僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet上線運(yùn)作之后，其幕后經(jīng)營(yíng)者就能在已入侵的系統(tǒng)上直接竊取一些 FTP 帳號(hào)密碼。偷到的帳號(hào)密碼，歹徒還可以用來入侵其他合法的網(wǎng)站，然后再將合法網(wǎng)站的使用者重導(dǎo)至自己所控制的服務(wù)器。

本文將分析一臺(tái)惡意程序服務(wù)器的運(yùn)作方式，此服務(wù)器用來接收已入侵網(wǎng)站重導(dǎo)過來的流量。訪問者會(huì)被重導(dǎo)至一個(gè)漏洞攻擊套件。如果訪問者的系統(tǒng)被入侵成功，訪問者的電腦就會(huì)連線至一個(gè)程序植入工具（loader），該工具再將各式各樣的惡意程序傳送至訪問者的電腦（視訪問者所在地理區(qū)域而定）。只要有心犯罪，這些工具和方法在網(wǎng)絡(luò)犯罪地下經(jīng)濟(jì)體系當(dāng)中都隨手可得。

Phoenix漏洞攻擊套件

在這個(gè)案例中，三個(gè)惡意的iframe會(huì)被植入合法的網(wǎng)站當(dāng)中。如此會(huì)將瀏覽該網(wǎng)站的訪問者導(dǎo)向一個(gè)Bot網(wǎng)絡(luò)經(jīng)營(yíng)者的外部網(wǎng)站。其中一個(gè)iframe會(huì)偷偷將訪問者導(dǎo)向?qū)ｉT散播Phoenix漏洞攻擊套件的服務(wù)器。

這個(gè)漏洞攻擊套件會(huì)判斷訪問者的操作系統(tǒng)和瀏覽器版本，然后再攻擊特定的漏洞以便在在訪問者電腦上執(zhí)行惡意程序。此攻擊涵蓋了一些熱門套裝軟件的漏洞，例如：Adobe Flash Player、Adobe Reader以及Java。

#p#

全部加起來，這個(gè) Phoenix漏洞攻擊套件總共獲得了17,628 位訪問者，而且成功入侵了其中850 位（4.82%）的電腦。這項(xiàng)套件發(fā)現(xiàn)，最容易攻擊成功的是含有漏洞的Java 版本。在攻擊成功之后，該套件就會(huì)在訪問者的電腦上植入一個(gè)惡意的執(zhí)行文件（也就是我們偵測(cè)到的TROJ_RENOS.NRT），讓電腦連線至另一群完全不同的幕后操控服務(wù)器。

與其他套件連結(jié)

這個(gè)Phoenix漏洞攻擊套件的訪問者幾乎都是來自于英國(guó)。顯然，該Bot網(wǎng)絡(luò)的幕后經(jīng)營(yíng)者可能是向其他網(wǎng)絡(luò)犯罪者購買了來自英國(guó)的流量，或者是入侵了某個(gè)英國(guó)的熱門網(wǎng)站。

同一部服務(wù)器上也還有其他 Phoenix 漏洞攻擊套件復(fù)本。在所有案例中（不限于前述討論的案例），該套件所植入的程序都會(huì)連線至同一服務(wù)器上的好幾個(gè)DLoader復(fù)本。例如，該套件的其他復(fù)本共獲得了5,871位訪問者。這些訪問者主要來自德國(guó)和俄羅斯。其中有360位（6.13%）是因?yàn)镴ava 漏洞攻擊而被入侵成功（再次成為榜首）。

#p#

這些植入的惡意程序會(huì)強(qiáng)迫使用者電腦連上同一服務(wù)器上的多份DLoader復(fù)本。這些Phoenix漏洞攻擊套件的復(fù)本，就是趨勢(shì)科技所偵測(cè)到的TROJ_INJECT.XSI、TROJ_DLOADER.TEP、TROJ_BAMITAL.AJ 和 TROJ_OBFUS.CJ。

在下面我們將進(jìn)一步說明DLoader工具組，以及該工具組如何提供一種隨安裝次數(shù)付費(fèi)（Pay-Per-Install）的Bot網(wǎng)絡(luò)經(jīng)營(yíng)模式。

DLoader和Bot網(wǎng)絡(luò)經(jīng)營(yíng)模式

惡意程序散播通常是一種合作關(guān)系或聯(lián)合的行動(dòng)。Bot網(wǎng)絡(luò)賺錢的方式之一，就是所謂的隨安裝次數(shù)付費(fèi)（Pay-Per-Install，簡(jiǎn)稱PPI）模式，也就是只要在一臺(tái)受害電腦上安裝一份惡意程序，就可以賺取一筆費(fèi)用。

DLoader是一種網(wǎng)頁式系統(tǒng)管理工具，可讓Bot網(wǎng)絡(luò)經(jīng)營(yíng)者管理旗下的Bot電腦所要安裝的惡意程序。每完成一次安裝，Bot網(wǎng)絡(luò)的經(jīng)營(yíng)者就可以向合作夥伴收取一筆費(fèi)用。

DLoader的價(jià)碼在地下論壇大約是250美元。雖然它的功能主要是安裝其他惡意程序，但它也可能伴隨一些額外的模組一起販?zhǔn)?，例如：專門竊取 FTP 帳號(hào)密碼的FTP GRABBER以及專門盜取熱門線上撲克網(wǎng)站帳號(hào)密碼的POKER ACCOUNT GRABBER。這些要價(jià)大約是200美元。FTP帳號(hào)竊取工具之所以重要，是因?yàn)樗勺孊ot網(wǎng)絡(luò)經(jīng)營(yíng)者在合法網(wǎng)站當(dāng)中植入惡意程序碼，進(jìn)而將瀏覽該網(wǎng)站的使用者導(dǎo)向漏洞攻擊套件。如此，Bot網(wǎng)絡(luò)經(jīng)營(yíng)者就能擁有源源不絕的受害者來源。

依國(guó)別而不同植入不同惡意程序

我們分析了前一篇文章所述的服務(wù)器上各個(gè)DLoader復(fù)本。其中的一個(gè)復(fù)本掌管了7,957臺(tái)Bot電腦，主要分布在越南和印尼。另一個(gè)復(fù)本掌管了10,726臺(tái)Bot電腦，主要分布在德國(guó)和俄羅斯。該服務(wù)器上的DLoader復(fù)本包含了各式各樣的惡意程序，它們會(huì)視Bot電腦所在國(guó)家而提供不同的程序。

#p#

例如，德國(guó)的Bot電腦都會(huì)去下載某一個(gè)SpyEye變種（TSPY_SPYEYE.ATC）。而美國(guó)、加拿大、英國(guó)、澳洲和法國(guó)的受害電腦則會(huì)下載另一個(gè)不同的SpyEye變種（TROJ_SPYEYES.JAN）。

至于俄羅斯的受害者則是去下載一個(gè) Meredrop 變種（TROJ_MEREDROP.TG）。預(yù)設(shè)下載的程序都是各種不同的假殺毒產(chǎn)品。

為了讓讀者體會(huì)一下該服務(wù)器所提供的惡意程序種類之多，特別在此列出一些我們已偵測(cè)到的惡意程序名稱：

TROJ_FRAUDL.SMMZ

TROJ_HILOTI.SMAE

TSPY_SPYEYE.ATC

TSPY_ZBOT.PB

TROJ_FAKEAV.SMT1

TROJ_SPYEYES.JAN

TROJ_SPYEYES.AE

TROJ_MEREDROP.TG

TROJ_FAKEAV.SMDF

TSPY_SPYEYE.TRF

TROJ_KRYPTK.XFX

雖然小型 Bot 網(wǎng)絡(luò)通常不受人注意，但它們依然是惡意程序的重要命脈。其經(jīng)營(yíng)者不僅是惡意程序工具組的消費(fèi)者，也是大型 Bot 網(wǎng)絡(luò)經(jīng)營(yíng)者的受害者名單來源，同時(shí)更是假殺毒軟件的散播者。惡意程序工具組的公開流傳，讓有心從事網(wǎng)絡(luò)犯罪但不具專業(yè)能力的歹徒也能進(jìn)行漏洞攻擊、散播惡意程序，這些原本都是他們不可能辦到的事。

【編輯推薦】