精密的惡意程序散播技巧

這類工具可讓僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet經(jīng)營(yíng)者彼此合作，或者參與聯(lián)合行動(dòng)。有了這類工具，現(xiàn)在，惡意程序的作者就能付費(fèi)請(qǐng)僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet網(wǎng)絡(luò)經(jīng)營(yíng)者代為將惡意程序安裝至受害者的電腦上。一個(gè)僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet可用來散播各式各樣的惡意程序，例如：SpyEye、ZeuS 或假殺毒軟件。

網(wǎng)絡(luò)犯罪者需要吸引訪問者連上他們的惡意網(wǎng)站，才能在訪問者的電腦上安裝惡意程序。為了吸引訪問者流量，僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet經(jīng)營(yíng)者通常會(huì)在地下聊天室或地下論壇上購(gòu)買合法網(wǎng)站的 FTP 帳號(hào)密碼。此外，一旦 僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet上線運(yùn)作之后，其幕后經(jīng)營(yíng)者就能在已入侵的系統(tǒng)上直接竊取一些 FTP 帳號(hào)密碼。偷到的帳號(hào)密碼，歹徒還可以用來入侵其他合法的網(wǎng)站，然后再將合法網(wǎng)站的使用者重導(dǎo)至自己所控制的服務(wù)器。

本文將分析一臺(tái)惡意程序服務(wù)器的運(yùn)作方式，此服務(wù)器用來接收已入侵網(wǎng)站重導(dǎo)過來的流量。訪問者會(huì)被重導(dǎo)至一個(gè)漏洞攻擊套件。如果訪問者的系統(tǒng)被入侵成功，訪問者的電腦就會(huì)連線至一個(gè)程序植入工具 （loader），該工具再將各式各樣的惡意程序傳送至訪問者的電腦 （視訪問者所在地理區(qū)域而定）。只要有心犯罪，這些工具和方法在網(wǎng)絡(luò)犯罪地下經(jīng)濟(jì)體系當(dāng)中都隨手可得。 Phoenix 漏洞攻擊套件

在這個(gè)案例中，三個(gè)惡意的 iframe 會(huì)被植入合法的網(wǎng)站當(dāng)中。如此會(huì)將瀏覽該網(wǎng)站的訪問者導(dǎo)向一個(gè) Bot 網(wǎng)絡(luò)經(jīng)營(yíng)者的外部網(wǎng)站。其中一個(gè) iframe 會(huì)偷偷將訪問者導(dǎo)向?qū)ｉT散播 Phoenix 漏洞攻擊套件 的服務(wù)器。

這個(gè)漏洞攻擊套件會(huì)判斷訪問者的操作系統(tǒng)和瀏覽器版本，然后再攻擊特定的漏洞以便在在訪問者電腦上執(zhí)行惡意程序。此攻擊涵蓋了一些熱門套裝軟件的漏洞，例如：Adobe Flash Player、Adobe Reader 以及 Java。  

全部加起來，這個(gè) Phoenix 漏洞攻擊套件總共獲得了 17,628 位訪問者，而且成功入侵了其中 850 位 （4.82%） 的電腦。這項(xiàng)套件發(fā)現(xiàn)，最容易攻擊成功的是含有漏洞的 Java 版本。在攻擊成功之后，該套件就會(huì)在訪問者的電腦上植入一個(gè)惡意的執(zhí)行文件 （也就是我們偵測(cè)到的 TROJ_RENOS.NRT），讓電腦連線至另一群完全不同的幕后操控服務(wù)器。

與其他套件連結(jié)

這個(gè) Phoenix 漏洞攻擊套件的訪問者幾乎都是來自于英國(guó)。顯然，該 Bot 網(wǎng)絡(luò)的幕后經(jīng)營(yíng)者可能是向其他網(wǎng)絡(luò)犯罪者購(gòu)買了來自英國(guó)的流量，或者是入侵了某個(gè)英國(guó)的熱門網(wǎng)站。

同一部服務(wù)器上也還有其他 Phoenix 漏洞攻擊套件復(fù)本。在所有案例中 （不限于前述討論的案例），該套件所植入的程序都會(huì)連線至同一服務(wù)器上的好幾個(gè) DLoader 復(fù)本。例如，該套件的其他復(fù)本共獲得了 5,871 位訪問者。這些訪問者主要來自德國(guó)和俄羅斯。其中有 360 位 （6.13%） 是因?yàn)?Java 漏洞攻擊而被入侵成功 （再次成為榜首）。　

這些植入的惡意程序會(huì)強(qiáng)迫使用者電腦連上同一服務(wù)器上的多份 DLoader 復(fù)本。這些 Phoenix 漏洞攻擊套件的復(fù)本，就是趨勢(shì)科技所偵測(cè)到的 TROJ_INJECT.XSI、TROJ_DLOADER.TEP、TROJ_BAMITAL.AJ 和 TROJ_OBFUS.CJ。

漏洞攻擊與惡意程序植入的合作關(guān)系我們?cè)谶@里只想大家介紹了一部分，在以后的文章中，我們還會(huì)繼續(xù)向大家介紹的，希望大家多多掌握。

【編輯推薦】

1. 木馬釋放器集合惡意程序
2. 木馬強(qiáng)化惡意文件迷惑性
3. 給你預(yù)防病毒的八個(gè)忠告
4. 六大網(wǎng)絡(luò)安全威脅發(fā)展趨勢(shì)
5. 如何全面清除計(jì)算機(jī)電腦病毒