僵尸网络最初的基本协议 年收入50万美元揭秘Phorpiex僵尸网络
Phorpiex,一种兼具蠕虫病毒和文件型病毒特性的僵尸网络病毒,能够借助漏洞利用工具包以及其他恶意软件进行传播,迄今为止已感染超过100万台Windows计算机。
另据网络安全公司Check Point的统计,Porpiex僵尸网络每年产生的犯罪收入大概在50万美元左右。
与其他僵尸网络不同,该僵尸网络没有选择使用公共VPS托管服务来托管其命令与控制(C&C)基础设施,而是使用了一些利用盗用身份注册的专用IP子网,为的就是尽量不引起注意。
Phorpiex僵尸网络的架构最初,Phorpiex使用的是IRC协议,在当时也被称为“Trik”。但在最近,Phorpiex不再使用IRC协议,并且其架构开始呈现模块化。
图1.带有解密URL的Trik C&C通信转储
目前,Tldr(可能代表“TrikLoader”)已成为Phorpiex僵尸网络的核心部分。Tldr是一个使用HTTP协议与C&C服务器通信的下载程序,主要负责在受感染计算机上加载其他恶意软件。
其中一些Tldr样本还具有蠕虫病毒的功能,可以通过可移动驱动器传播。此外,Check Point还发现了该恶意软件的变种,它们可以像文件病毒一样感染其他软件。
如有必要,攻击者还可以通过加载额外的模块来扩展僵尸网络的功能。
下图展示了当前Phorpiex僵尸网络的感染链以及模块化体系架构。
图2.Phorpiex的感染链和架构
配备Tldr、VNC蠕虫和NetBIOS蠕虫等模块的目的都是为了发展壮大僵尸网络,Phorpiex运营商的最终目标是获得利润,通常以加密货币为单位,具体方式如下:
- 性勒索垃圾邮件(Sextortion spam);
- 非法挖矿(Crypto-jacking);
- 通过剪贴板窃取加密货币钱包(Crypto-currency clipping);
- 加载其他恶意软件(如间谍软件Raccoon、Predator The Thief等)。
图3.不同恶意活动的收益占比
Phorpiex僵尸网络的规模Phorpiex僵尸网络“肉鸡”会每天持续不断地扫描从配置中提取的域名和IP地址,即使是C&C服务器做出响应,也会继续查询其他主机。
在过去的两个月里,Check Point记录了超过100万个独立主机的连接,每天约有10万个“肉鸡”处于活动状态,每小时平均有1.5万个“肉鸡”同时在线。
图4.每小时的在线“肉鸡”数量
“肉鸡”主要位于亚洲国家/的确,包括印度、中国、泰国和巴基斯坦。此外,在美国、墨西哥和一些非洲国家/地区也有“肉鸡”的存在,欧洲几乎不受影响。
C&C基础设施所有Phorpiex模块都使用硬编码的IP地址和域名进行C&C通信,但域名列表会定期更新。在今年监测Phorpiex期,Check Point发现了4000多个不同的Tldr样本,其中包含了大约300种配置以及3297个域名和IP地址。
值得注意的是,Tldr与Trik“肉鸡”使用的是相同的C&C服务器:
图5.Phorpiex僵尸网络的C&C服务器
结论Phorpiex被作为一种恶意软件即服务(Malware-as-a-Service,MaaS)在暗网出售,通常每感染1000台计算机的价格在100美元到1000元美元不等,具体取决于目标计算机所处的国家/地区。
感染100万台计算机,大约需要向恶意软件即服务提供方支付10万美元,再扣除支付给漏洞利用工具包提供方的费用以及花费在传播技术(如VNC蠕虫模块、NetBIOS蠕虫模块以及文件病毒功能)上的成本,创建这样一个僵尸网络似乎仍然是非常有利可图的。
这个案例再次告诉我们,如今的网络犯罪分子想要创建一个庞大的僵尸网络,已经无需对计算机编程、密码学等有太多的了解,只要花上一笔钱就能够轻松办到。暗网,正在进一步降低网络犯罪的门槛。
,免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com