标签: 僵尸网络

Talos:FBI重启路由器的建议失效 僵尸网络感染了更多设备

还记得两周前,联邦调查局(FBI)要求所有人重启路由器,以帮助“摧毁”僵尸网络吗?遗憾的是,根据思科 Talos 安全部门周三发布的报告,这款名叫“虚拟专用网过滤器”的恶意软件不仅没被干掉,反而可能拥有了更多的功能、并且正在利用比以往更多的设备!Talos 指出,他们发现了一个可被黑客用来拦截受感染设备或路由器流量的“ssler”模块(读作 Esler)。 简而言之,即便 FBI 寻求公众的帮助来摧毁该僵尸网络,这款名为“虚拟专用网过滤器”的恶意软件却依然存活,导致人们仍易受到它的威胁。 Talos 资深技术领导人 Craig Williams 在接受 ARS Technica 采访时表示: 我们担心 FBI 给公众营造了一种虚假的安全感,该恶意软件仍在运行,且感染了比我们最初认为更多的设备。它的能力远远超出了我们最初的想象,人们需要从这个僵尸网络中摆脱出来。 至于 FBI 此前的建议到底多有效,该机构未立即置评。此前受影响的设备包括 Linksys、MikroTik、NetGear、以及 TP-Link 。 然而Talos 指出,他们在更多的路由器上发现了该恶意软件的身影,涉及华硕、D-Link、华为、Ubiquiti、UPVEL、中兴等厂家。   稿源:cnBeta,封面源自网络;

Brain Food 僵尸网络散布恶意 PHP 脚本,已有超 5000 个网站受损

据外媒报道, Proofpoint 研究员 Andrew Conway 上周对一个名为” Brain Food ”的僵尸网络进行了剖析。根据 Conway 的说法,由该僵尸网络推动的垃圾邮件活动早在去年 3 月就已被发现,其源头可能是来自于一个恶意的 PHP 脚本,因为该脚本一直秘密地将用户重定向到减肥和提高智力药片的网页上。据统计,目前已有超过 5000 个网站上存在该脚本 , Conway 通过对这些站点进行追踪后发现,其中绝大多数都是在 GoDaddy 的网络上找到的,并且仅在上周内活跃的网站已超过 2400 个。 Conway 表示,该脚本用于让被黑网站处于网络犯罪分子的控制之下,并对各种垃圾邮件活动的动态重定向进行管理。 根据最近的垃圾邮件活动发现,该 PHP 脚本能够从 Brain Food 运营商那里获得新的“重定向目标”,并收集到每次活动的点击统计数据。 虽然僵尸网络只是推送了一些垃圾内容,对用户并无实际害处,但这对被感染的网站来说是危险的,主要是因为它具有类似后门的功能,允许僵尸网络运营商随时执行他们想要的任何代码。 消息来源:Bleeping Computer,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

垃圾邮件僵尸网络运营商 Necurs 采用新技术避免检测

外媒近日消息,全球最大的垃圾邮件僵尸网络运营商 Necurs 目前正在使用一种新的逃避技术,其通过 Internet 快捷方式或 .URL 文件来绕过检测。Necurs 僵尸网络自 2012 年以来一直存在,它由全世界数百万台被感染的电脑组成,目前趋势科技观察到其恶意软件已经得到改进,企图能够成功地打败网络安全措施。 Necurs 新变种试图通过向用户发送一个包含压缩文件的恶意电子邮件来躲开检测。该文件一旦被解压缩,就会显示一个扩展名为 . url 的文件,.url 扩展名文件与 Windows 快捷方式文件相关联,该快捷方式文件会在浏览器中打开一个指向远程脚本文件活动的 URL。随后,该脚本会生成了一个名为 QuantLoader 的下载程序(这是一个普通的恶意软件家族)来下载并执行最终的有效负载。 图 1.先前版本的恶意软件图 图2. 演变的 Necurs 恶意软件图 以前,Necurs的JavaScript下载器会下载最终的有效载荷。但在最新版本中,是通过远程脚本生成 QUANTLOADER  下载程序 (由趋势科技检测为 TROJ_QUANT) ,然后下载最终的有效负载,这是添加到 Necurs 的 感染链上的另一层。 QUANTLOADER 的使用可能是双重的: 首先,它会在下载最终有效负载之前增加另一个下载阶段,以此来混淆并逃避行为检测。 其次,QUANTLOADER 本质上是持久性的 , 它会删除自身的副本并创建一个自动运行注册表,以便在启动时执行。 根据趋势科技的说法,为了找到其他有效的方法来欺骗受害者,并且消除针对它的反措施,Necurs 事实上在不断演变,比如说为了使用户更加相信,攻击通过 Internet 快捷方式具有 INI 文件格式的内容来伪造成文件夹图标。 注意,除了伪装成文件夹的图标之外,文件名还被制作成典型的文件夹名称,例如上图所示的 IMG-20180404-9AC4DD、SCN-20180404-268CC1 和 PIC-20180404-ADEEEE 等等。 趋势科技分析报告: 《Necurs Evolves to Evade Spam Detection via Internet Shortcut File》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

乌克兰警方成功逮捕 Avalanche (“ 仙女座 ”)僵尸网络组织者

外媒 2 月 26 日报道,乌克兰警方于周一表示,大规模僵尸网络 Avalanche (仙女座)的组织者之一被成功逮捕。 Andromeda (仙女座)是市场上最大的僵尸网络之一,自 2011 年以来一直存在。它为世界各地的恶意软件和 DDoS(分布式拒绝服务)垃圾邮件攻击提供基础架构。乌克兰网络警察在一份声明中说, 国际犯罪平台 Avalanche 的组织者在全球范围内每天感染的设备数量约达 50 万台。 其实早在 2016 年 11 月,来自欧洲刑警组织以及其他地区的检察官和调查人员进行了一场国际执法合作,成功摧毁了国际犯罪基础设施平台 Avalanche ,并逮捕了其高层老板。欧洲刑警组织表示,在当时的行动中,数百台服务器被关闭或扣留,80 万个互联网域名被封锁,成为迄今为止最大的拆除行动之一。 在这次行动中,一位网络警察发言人向法新社证实,被捕的男子是一名乌克兰公民 Gennadiy Kapkanov。警察搜查了该名男子的公寓,并对一台笔记本电脑和存储设备进行了取证。在调查过程中,警方发现,为了隐藏犯罪行为,该名男子使用了不同身份的护照。 不过乌克兰媒体称,Gennadiy Kapkanov 似乎是失踪了。因为虽然 Gennadiy Kapkanov 被拘留在他位于乌克兰中部城市波尔塔瓦的家中,但由于当地法院并没有实行正式逮捕。 于是周一晚些时候,法院将不得不再次决定是否要正式逮捕 Gennadiy Kapkanov 。 消息来源:SecurityWeek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

安全专家发现最新僵尸网络的控制主机也提供游戏私服

近日安全研究公司 Radware 发现了一个新的僵尸网络 “ JenX ”,其设计用途为在全球范围内劫持安全薄弱的物联网设备作为肉鸡,有趣的是安全公司发现 JenX 程序背后指向一支名为 San Calvicie 的黑客团队,而黑客团队用于分布式拒绝攻击 DDoS 的服务器控制主机位于东非的塞舌尔群岛。他们的控制主机除了执行 DDoS 攻击之外,还被用于作为R星经典游戏《侠盗猎车手:圣安地列斯》的私服主机。 僵尸网络主机可追溯到 San Calvicie 组织的官网,研究团队发现这些主机正在为 R 星游戏《侠盗猎车手:圣安地列斯》提供私服主机服务,玩家们可以在中创建 Mod,并要求其他玩家加入私服游戏。同时这些主机还提供防御 DDoS 攻击的服务,售价为每月 16 美元。 而与此同时,这些黑客也提供按需提供分布式拒绝攻击 DDoS 的服务,每次 20 美元。网站上如此宣传这项服务“神怒会砸向你要求攻击的 IP ”。这些组织最早提供 100Gbps 的 DDoS 的攻击服务,而在他们建立好 JenX 僵尸网络后,攻击流量直接升级至 300Gbps 。专家并不确定被劫持的物联网设备数量。 稿源:cnBeta,封面源自网络;

僵尸网络 Smominru 利用 NSA 泄露漏洞感染 52.6 万多设备挖掘门罗币

据媒体 1 月 31 日报道,“ 僵尸网络 ” 恶意软件 Smominru 已经通过泄露的 NSA 漏洞感染了 52.6 万多台电脑。 网络安全公司的软件安全研究人员已经发现了一个名为 Smominru 的新的全球僵尸网络,它也被称为 Ismo ,它使用了国家安全局( NSA )漏洞永恒之蓝来传播门罗币挖矿的恶意软件。 媒体称,这款 “ 永恒之蓝 ” 的漏洞被所谓的 “ 影子经纪人 ” (Shadow Brokers)黑客泄露,据报道,这些黑客还在幕后操纵着 2017 年的 “ WannaCry  蠕虫病毒勒索软件。 据证实,Smominru 僵尸网络自 2017 年 5 月起就开始感染电脑,每天大约会挖掘 24 个门罗币。到目前为止,据报道,“ 僵尸网络 ” 在新闻发布时已经成功挖掘了 8900 个门罗币,约合 210 万美元。研究人员说,在俄罗斯、印度和台湾发现了数量最多的 smominru 感染电脑。 根据证据,网络犯罪分子瞄准的是易受攻击的 Windows 系统,也使用了一种被泄露的 NSA 协议,叫做 EsteemAudit 。 根据 thehackernews.com 网站,专家们还通知 DDoS 保护服务 SharkTech, Smominru 的指挥和控制基础设施已经被检测到,但是他们没有得到回应。 正如 Cointelegraph 在 1 月 28 日报道的那样,通过在线广告进行大规模的门罗币挖掘恶意软件攻击,主要是由于有争议的加密货币挖掘和广告平台 cove,影响了全球范围内的大量用户和在线业务,包括 Youtube。 稿源:九个亿财经,封面源自网络;

新型僵尸网络 HNS 不断增长,已感染逾 2 万物联网设备

外媒 1 月 25 日消息,一个名为 Hide’N Seek( HNS )的新僵尸网络正在世界各地不断增长,对物联网设备造成重大影响(截至目前为止,受感染的物联网设备数量已达 2 万)。据研究人员介绍,HNS 僵尸网络使用定制的点对点通信来诱捕新的物联网设备并构建其基础设施,目前 HNS 主要是针对不安全的物联网设备,尤其是 IP 摄像机。 Bitdefender 的安全研究人员发现 HNS 僵尸网络于 2018 年 1 月 10 日首次出现,和其他与 Mirai 有关的物联网(IoT)僵尸网络并不相同。因为 HNS 有着不同的起源,且不共享其源代码。事实上,Bitdefender 高级电子威胁分析师 Bogdan Botezatu 认为 HNS 与 Hajime 僵尸网络更为相似。 Bitdefender 的研究人员在 1 月 24 日发表的博客文章中写道: “ HNS 僵尸网络以复杂并且分散的方式进行通信,使用多种防篡改技术来防止第三方劫持。” 其僵尸程序可以通过与 Reaper 相同的漏洞( CVE-2016-10401 和其他针对网络设备的漏洞),对一系列设备进行 Web 开发。 除此之外,HNS 还可以执行多个命令,包括数据泄露、代码执行和对设备操作的干扰。其僵尸程序具有类似蠕虫的特性,可以随机生成一个 IP 地址列表来获得潜在的目标,随后向列出的每个目标设备发起一个原始的套接字 SYN 连接。 一旦连接成功,僵尸程序将查找设备提供的 “ buildroot login ” 横幅,并尝试使用一组预定义凭据进行登录。如果失败,它会试图通过使用硬编码列表的字典攻击来破解设备的密码。 其次,若用户设备与僵尸程序具有相同的局域网,那么僵尸程序将会设置 TFTP 服务器,以便受害者能够下载样本。但如果是位于互联网上,僵尸程序将尝试一种特定的远程有效载荷传递方法,让用户设备下载并运行恶意软件样本。 一旦设备被感染,僵尸网络背后的黑客就可以使用命令来控制它。目前僵尸网络已经从最初的 12 个受损设备增加到 2 万多个。 但幸运的是,像大多数物联网僵尸网络一样,HNS 僵尸网络不能在受感染的设备上建立持久性。只要通过简单的设备重新启动, 受感染的设备中就可以自动删除恶意软件。 目前 Bitdefender 的研究人员尚未发现 HNS 僵尸网络具有 DDoS 功能,这意味着 HNS 将被部署为一个代理网络。另外,研究人员透露 HNS 僵尸网络仍然不断变化中,可能会被应用于多种攻击场景。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

IBM 推出 Quad9 公共 DNS 服务(9.9.9.9),将屏蔽僵尸网络等网络主机关联域名

IBM 、Global Cyber Alliance 和 Packet Clearing House 合作推出了免费的 Quad9 公共 DNS 服务(9.9.9.9),它将会屏蔽与僵尸网络、钓鱼攻击和其它恶意主机相关联的域名。 Quad9 的工作与其它免费的公共 DNS 相似,但不会返回已识别为恶意的域名解析。测试显示,Quad9 相比 Google 的 公共 DNS 服务 8.8.8.8,其响应延迟时间更长,但 Quad9 项目成员表示通过缓存和增加节点将有助于减少延迟。GCA 的 Phil Rettinger 称,Quad9 注重隐私保护,不会记录发出请求的地址,只保存地理位置数据,目的是为了跟踪特定恶意域名相关的请求。 稿源:Solidot,封面源自网络;

CSE ZLab 安全报告:发现新型僵尸网络 Wonder 程序踪迹

HackerNews.cc 10 月 23 日消息,CSE CybSec ZLab 实验室研究人员近期在暗网调查恶意代码时发现一份以 “NetflixAccountGenerator.exe” 命名的应用软件,其承诺为用户免费提供 Netflix 网站高级帐号。然而用户一旦下载该软件将会自动安装僵尸程序感染自身系统,从而被动参与黑客发起的网络攻击活动。目前,该恶意程序被用于僵尸网络 Wonder 传播。 调查显示,研究人员在分析这款 “exe” 应用文件时发现只有一个网站于 9 月 20 日首次上传该恶意软件后被提示存在风险。对此,研究人推测可能是恶意软件开发人员为其设置了 “隐身” 程序。此外,该款恶意软件的命令与控制服务器的接口隐藏在虚假页面链接中。(如下图) 对此,研究人员经检验证实,位于虚假页面 “wiknet.wikaba.com” 左侧链接上的 “support.com” 指向僵尸网络 C&C 服务器前端。有趣的是,它的每个链接指的都是原始页面。只要点击一个链接,研究人员就将被重定向至 “support.com” 相应页面。另外,研究人员还发现了一些隐藏的路径,其中包含僵尸程序使用的信息和命令。(如下图) 知情人士透露,该恶意软件由两部分组成: Ο 下载器:它是一个 .NET 可执行文件,其唯一目的是下载并执行真正的僵尸程序代码后上传到 “pastebin.com/raw/E8ye2hvM” 上。 Ο 真正的僵尸程序:当它被下载和执行时,将会感染主机、设置持久机制并启动恶意操作。 CSE Cybsec ZLab 发布的报告中还包括 IoCs 和 Yara 规则的进一步技术细节,感兴趣的用户可通过以下链接下载完整报告进行查看:《Malware Analysis Report: Wonder Botnet》 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新型 IOT 僵尸网络神秘来袭,全球百万企业已遭感染

HackerNews.cc 10 月 20 日消息,网络安全公司 Check Point 研究人员近期发现一波新型物联网(IOT)僵尸网络神秘来袭,全球百万企业已被感染,其中美国、澳大利亚等地区受影响情况最为严重且感染数量仍在持续增加。据称,它与此前影响全球的僵尸网络 Mirai 有多数相似之处。 调查显示,该僵尸网络于今年 9 月出现,且可能要比想象的更加复杂。黑客试图利用各种 IP 摄像机模型中的已知漏洞展开攻击,其受影响设备包括 GoAhead、D-Link、TP-Link、AVTECH、NETGEAR、MikroTik、Linksys 与 Synology。研究人员推测,一旦目标设备感染恶意软件,其自身就会进行扩展传播。 据悉,研究人员在调查受影响的 GoAhead 设备时发现,攻击者主要通过触发漏洞 CVE-2017-8225 侵入目标设备的 System.ini 文件,并依赖恶意软件感染分发。值得注意的是,攻击者不仅通过系统文件窃取用户凭据,还利用设备 “Netcat” 命令打开设备 IP 、反向 shell。 Check Point 研究人员指出,此次攻击来自不同国家的不同类型设备,其约 60% 的 Check Point ThreatCloud 企业网络遭受感染。目前,他们已在线公布易受攻击的物联网设备列表。虽然尚不了解幕后黑手真正意图,但他们根据证据推测攻击者极有可能发动大规模 DDoS 攻击。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接