基于Tor的僵尸网络--天网

分类:
标签:
分享到:

本文通过分析一个恶意软件从而发现了一个僵尸网络。该僵尸网络的特点是使用Tor作为通信渠道来隐藏自己。

有意思的是,该恶意软件的作者曾经在著名的Reddit网站上自曝自己是一个恶意代码编写者,并且秀了很多截图,结果碰巧这次他的僵尸网络被安全工作人员发现了。

原文里引用了很多作者的原话,比较有意思,推荐一读。原文地址:点我

========================导读分割线=========================

研究人员发现了一个恶意软件,它和Reddit上一个狂妄的黑客所描述自己写的代码很相似。

  1. 小心盗版软件:
    它利用Usenet的文件共享来传播,这种途径有几个优点:受害者会自投罗网、易于部署、难于根除、潜在的受害者较多。

  2. 概述:
    这个恶意软件有15MB之巨,但是在VirusTotal上却只有7/42的检测率(Cocoa注:现在是26/42了)。里面充斥着大量垃圾代码,估计是为了伪装成一个正常软件的样子。当然也有很多混淆手段来躲避检测。他内嵌了四个资源:ZeusBot、Tor客户端、比特币工具和比特币要用到的OpenCL.dll。它启动后伪装为IE或者svchost.exe,然后创造几个进程,将它们挂起、使用恶意代码重写内存、再恢复运行。从命令行发现它不仅使用Tor连接后台,而且也在受感染的机器上开了Tor的Hidden Services 。

  3. Tor,走起:
    使用Tor来作为僵尸网络的基础设施之前就被讨论了很多次(例如Defcon 18),但是这是第一次被发现的实际例子。一般的僵尸网络C&C网络都是使用正常的服务器,并且注册一个域名指向它,但是这种很容易被安全工作者攻陷,或者干脆劫持域名到一个sinkhole里。有时候僵尸网络操控者会买很多服务器来实现一个“防弹僵尸网络”,不过这很花钱而且不一定100%可靠。天网使用了Tor独有的Hidden Services和.union伪域名来保证不会被发现和劫持。

  4. 奶奶也会用的IRC僵尸网络:
    天网连接到Tor Hidden Service背后的IRC服务器来接受命令,比如发动DDoS攻击,获取被感染主机信息等。

  5. ZeuS:
    该作者使用了最常见的网银木马——宙斯,这是僵尸网络的核心,也为其提供资金来源。和IRC一样,宙斯也是用Tor Hidden Service来获取配置文件以及回传窃取的登录凭证等。

  6. 挖比特币
    本恶意软件使用CGMiner来挖比特币。为了不被发现,它还监控鼠标和键盘操作,只有空闲时候才会开挖。为了不打扰被害者打游戏和看电影,作者还“好心”的降低了优先级并且限制CPU占用率……

  7. 追踪僵尸网络:
    借助逆向工程,安全人员找到了该恶意软件使用的Tor Hidden Service,发现它还生龙活虎地DDoS了一家荷兰的机构。有趣的是,这些僵尸集中在欧洲中部,比如荷兰和德国,估计被感染主机规模在12,000至15,000左右。

  8. 掘金:
    比特币和宙斯盗号是其主要的资金来源,作者不亲自出售帐号而是卖给黑市,这样既方便又安全。

  9. 总结:
    这个恶意软件简单有效,麻雀虽小但五脏俱全。使用Tor作为通信渠道并且使用Hidden Services来保护背后的基础设施是亮点,其他僵尸网络操控者很有可能会模仿这种方法。另一个有趣的要素是6个月前作者就发了帖子,但是僵尸网络直到现在才被人注意到。经验教训:1.建造僵尸网络不一定要靠入侵,所以大家使用互联网特别是下载文件的时候要当心。2.不花钱就搭建一个“防弹僵尸网络”也是有可能的,Tor是把刀,看用在谁的手里。

下篇预告:信息安全地下产业链调查


本文地址:http://www.hcocoa.com/2012/12/12/skynet-a-tor-based-botnet
原创文章如转载,请注明链接: 转自HCocoa的博客
你可能还会对下列文章感兴趣:

4条评论 你不想来一发么↓ 顺序排列 倒序排列

    向下滚动可载入更多评论,或者点这里禁止自动加载

    想说点什么呢?

    您需要登录您的Google账号才能进行评论。想要匿名评论?试试新的评论框吧↓