僵尸网络最初的基本协议 年收入50万美元揭秘Phorpiex僵尸网络

Phorpiex，一种兼具蠕虫病毒和文件型病毒特性的僵尸网络病毒，能够借助漏洞利用工具包以及其他恶意软件进行传播，迄今为止已感染超过100万台Windows计算机。

另据网络安全公司Check Point的统计，Porpiex僵尸网络每年产生的犯罪收入大概在50万美元左右。

与其他僵尸网络不同，该僵尸网络没有选择使用公共VPS托管服务来托管其命令与控制（C&C）基础设施，而是使用了一些利用盗用身份注册的专用IP子网，为的就是尽量不引起注意。

最初，Phorpiex使用的是IRC协议，在当时也被称为“Trik”。但在最近，Phorpiex不再使用IRC协议，并且其架构开始呈现模块化。

图1.带有解密URL的Trik C＆C通信转储

目前，Tldr（可能代表“TrikLoader”）已成为Phorpiex僵尸网络的核心部分。Tldr是一个使用HTTP协议与C&C服务器通信的下载程序，主要负责在受感染计算机上加载其他恶意软件。

其中一些Tldr样本还具有蠕虫病毒的功能，可以通过可移动驱动器传播。此外，Check Point还发现了该恶意软件的变种，它们可以像文件病毒一样感染其他软件。

如有必要，攻击者还可以通过加载额外的模块来扩展僵尸网络的功能。

下图展示了当前Phorpiex僵尸网络的感染链以及模块化体系架构。

图2.Phorpiex的感染链和架构

配备Tldr、VNC蠕虫和NetBIOS蠕虫等模块的目的都是为了发展壮大僵尸网络，Phorpiex运营商的最终目标是获得利润，通常以加密货币为单位，具体方式如下：

• 性勒索垃圾邮件（Sextortion spam）；
• 非法挖矿（Crypto-jacking）；
• 通过剪贴板窃取加密货币钱包（Crypto-currency clipping）；
• 加载其他恶意软件（如间谍软件Raccoon、Predator The Thief等）。

图3.不同恶意活动的收益占比

Phorpiex僵尸网络“肉鸡”会每天持续不断地扫描从配置中提取的域名和IP地址，即使是C＆C服务器做出响应，也会继续查询其他主机。

在过去的两个月里，Check Point记录了超过100万个独立主机的连接，每天约有10万个“肉鸡”处于活动状态，每小时平均有1.5万个“肉鸡”同时在线。

图4.每小时的在线“肉鸡”数量

“肉鸡”主要位于亚洲国家/的确，包括印度、中国、泰国和巴基斯坦。此外，在美国、墨西哥和一些非洲国家/地区也有“肉鸡”的存在，欧洲几乎不受影响。

所有Phorpiex模块都使用硬编码的IP地址和域名进行C＆C通信，但域名列表会定期更新。在今年监测Phorpiex期，Check Point发现了4000多个不同的Tldr样本，其中包含了大约300种配置以及3297个域名和IP地址。

值得注意的是，Tldr与Trik“肉鸡”使用的是相同的C＆C服务器：

图5.Phorpiex僵尸网络的C＆C服务器

Phorpiex被作为一种恶意软件即服务（Malware-as-a-Service，MaaS）在暗网出售，通常每感染1000台计算机的价格在100美元到1000元美元不等，具体取决于目标计算机所处的国家/地区。

感染100万台计算机，大约需要向恶意软件即服务提供方支付10万美元，再扣除支付给漏洞利用工具包提供方的费用以及花费在传播技术（如VNC蠕虫模块、NetBIOS蠕虫模块以及文件病毒功能）上的成本，创建这样一个僵尸网络似乎仍然是非常有利可图的。

这个案例再次告诉我们，如今的网络犯罪分子想要创建一个庞大的僵尸网络，已经无需对计算机编程、密码学等有太多的了解，只要花上一笔钱就能够轻松办到。暗网，正在进一步降低网络犯罪的门槛。