标签: 僵尸网络

新 Orchard 僵尸网络使用比特币创始人的账户信息生成恶意域名

Hackernews 编译,转载请注明出处: 据观察,一个名为Orchard的新僵尸网络使用比特币创始人中本聪的账户交易信息生成域名,以隐藏命令和控制(C2)基础设施。 奇虎360的Netlab安全团队的研究人员在周五的一份报告中表示:“由于比特币交易的不确定性,这种技术比使用常见的时间生成(域生成算法)更不可预测,因此更难防御。” 据说自2021年2月以来,Orchard已经进行了三次修订,其中僵尸网络主要用于将额外的有效载荷部署到受害者的机器上,并执行从C2服务器接收到的命令。 它还旨在上传设备和用户信息以及感染USB存储设备,以传播恶意软件。Netlab的分析显示,迄今为止,已有超过3000台主机被该恶意软件奴役,其中大部分位于中国。 Orchard在一年多的时间里也经历了重大更新,其中之一就是在Golang的实施方面进行了短暂的尝试,然后在第三次迭代中切换回C++。 除此之外,最新版本包含启动XMRig挖矿程序的功能,通过滥用受损系统的资源来铸造门罗币(XMR)。 另一个变化涉及攻击中使用的DGA算法。虽然前两个版本完全依靠日期字符串来生成域名,但较新版本使用从加密货币钱包地址“1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa”获得的余额信息。 值得指出的是,钱包地址是比特币创世纪区块的矿工奖励接收地址,该地址发生在2009年1月3日,据信由中本聪持有。 研究人员表示:“在过去十年左右的时间里,由于各种原因,每天都有少量比特币被转移到这个钱包中,所以它是可变的,而且这种变化很难预测,因此这个钱包的余额信息也可以用作DGA输入。” 研究人员揭开了一个名为RapperBot的物联网僵尸网络恶意软件的神秘面纱,该恶意软件被发现可以强制SSH服务器进行分布式拒绝服务(DDoS)攻击。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Mantis——迄今为止的最强僵尸网络

DDoS防护公司Cloudflare宣布其上个月缓解的破纪录的分布式拒绝服务(DDoS)攻击源自一个名为Mantis的新僵尸网络,该僵尸网络很有可能是迄今为止最强大的僵尸网络。 这次僵尸网络的攻击来自5067台设备,最高攻击峰值为每秒2600万次请求。之前的DDoS记录是由Mēris僵尸网络保持的,它发起的攻击峰值为每秒2180万次请求。与Mēris僵尸网络相比,Mantis僵尸网络攻击峰值高出前者每秒420万次请求 Mantis破纪录的DDoS攻击(Cloudflare) 不同寻常的僵尸网络 DDoS防护公司Cloudflare,一直在跟踪Mantis僵尸网络对其客户的攻击踪迹。Cloudflare在今天的一份报告中说,其分析师以螳螂虾来称呼该僵尸网络,螳螂虾身形小,但爪子却有毁灭性的破坏力,而Mantis僵尸网络同样是依靠少量的设备,却也非常强大造成大范围高强度的破坏。 过去典型的僵尸网络需要破坏大量的连接设备,以积累足够的火力,对受保护的目标进行破坏性攻击。但Mantis的目标集中在服务器和虚拟机上,它们的资源明显更多。产生许多HTTPS请求是一个需要资源的过程,所以构成僵尸网络群的设备越强大,它们可以发起的DDoS攻击就越有力。之前的记录保持者Mēris是通过招募有强力硬件的MikroTik设备实现了特别强大的攻击。 Mantis的受害者 Mantis的目标是IT和电信(36%)、新闻、媒体和出版物(15%)、金融(10%)和游戏(12%)领域的实体。Cloudflare指出,在过去30天里,Mantis对近千名Cloudflare客户发起了3000次DDoS攻击。 被Mantis攻击最多的行业 (Cloudflare) 大多数目标是美国(20%)和俄罗斯联邦(15%)的组织,而土耳其、法国、波兰、乌克兰、英国、德国、荷兰和加拿大的受害者所占比例在2.5%至5%。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/339282.html 封面来源于网络,如有侵权请联系删除

美国司法部成功打掉了 RSocks 僵尸网络

Bleeping Computer 网站披露,美国司法部已经成功破坏了俄罗斯 RSocks 恶意软件僵尸网络。该僵尸网络在受害者不知情的状况下,入侵和劫持全球数百万台计算机、智能手机和物联网设备,用作代理服务器。 此次执法活动由 FBI 联合德国、英国和荷兰等国的警察部队共同发起,该僵尸网络在这些国家维持着部分基础设施。 僵尸网络是一个设备群,攻击者可以远程控制其进行包括 DDoS 攻击、加密货币挖掘和部署额外的恶意软件在内的各种行为。 在 RSocks 的案例中,攻击者利用僵尸网络将住宅电脑转换为代理服务器,允许僵尸网络的客户使用它们进行恶意活动。 这些服务的典型使用场景主要包括网络钓鱼操作、凭证填充、账户接管尝试等。此外,攻击者在使用代理服务时,执法部门很难追踪到。 秘密调查 FBI 特工一直在秘密调查 RSocks,也在秘密行动中绘制了 RSocks 基础设施的地图,并在 2017 年购买了大量代理。 根据美国司法部的说法,“客户”每天访问 2000 台代理计算机的费用为 30 美元,访问 90000 台代理的费用为每天 200 美元。 经过分析,调查人员确定了 325000 台被入侵的设备,其中许多位于美国。据称,RSocks 通过暴力破解这些设备的密码,并在被入侵的计算机上安装软件,将其变成代理服务器。 美国司法部指出,RSocks 僵尸网络的受害者主要是一些大型公共和私人实体,其中主要包括大学、酒店、电视演播室和电子制造商,以及家庭企业和个人。 值得一提的是,在三个受害地点,调查人员在征得同意的情况下,用政府控制的计算机(即蜜罐)替换了受感染的设备,随后这三个地方都被  RSocks 破坏了。 值得一提的是,虽然此次国际执法行动严重破坏了 RSocks ,但没有逮捕任何人。 僵尸网络威胁 众所周知,僵尸网络对路由器和其他连接互联网的“智能”物联网设备等安全性较差的设备构成持续且不断变化的威胁,这些设备经常被忽视并在长时间无人监督的情况下运行。 为了保护物联网设备,所有者应始终将默认管理员密码设置为更强大且难以暴力破解的密码,应用最新的可用固件更新,并为与关键设备隔离的物联网设置单独的网络。     转自 Freebuf,原文链接:https://www.freebuf.com/news/336661.html 封面来源于网络,如有侵权请联系删除

微软捣毁 ZLoader 犯罪僵尸网络

微软今天宣布近日捣毁了一个名为 ZLoader 的主要犯罪僵尸网络,这也是使用 XLM 宏作为攻击面的僵尸网络之一。微软的最新行动包括技术和法律活动,以破坏利用 ZLoader 作为恶意软件即服务(malware-as-a-service)的犯罪集团的运作。 在本次捣毁行动中,微软还锁定了一位开发 Zloader 用来分发勒索软件的犯罪分子。他是生活在 Crimean Peninsula Simferopol 的丹尼斯·马利科夫(Denis Malikov)。这一身份在微软的调查中被披露,该公司认为公开披露这一身份将向其他犯罪分子发出一个明确的信息,即他们不能躲在数字匿名的面具后面。 微软还争取到了一项法院命令,以控制犯罪团伙用来发展其僵尸网络的65个域名。该僵尸网络通常由属于全球医院、学校、家庭和企业的受感染电脑组成。 这些域名现在被引导到微软的一个天坑,在那里它们不能再被僵尸网络的犯罪操作者使用。Zloader包含一个嵌入在恶意软件中的域名生成算法(DGA),它创建了额外的域名作为僵尸网络的后备或备用通信渠道。除了硬编码的域名外,法院命令允许我们控制另外319个目前注册的DGA域名。我们还在努力阻止DGA域名的未来注册。 微软数字犯罪部门(DCU)总经理艾米-霍根-伯尼说,ZLoader的最初目标是金融和凭证盗窃。然而,现在它还出售恶意软件即服务,以分发Ryuk等勒索软件,该软件针对医疗机构。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1258209.htm 封面来源于网络,如有侵权请联系删除

FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。 本周三,美国司法部披露了在 3 月份成功开展的这一专项行动。不过对于设备所有者们来说,DOJ 还是警告其应该参考 2 月 23 日给出的最初建议,以防受损的设备被再次感染。 自 2 月份曝出与 Cyclops Blink 威胁有关的威胁以来,已有数千台设备得到了处理。不过“大多数”受感染的设备,还是拖到了 3 月中旬甚至更晚。 安全专家将 Cyclops Blink 视作 VPNFilter 的继任者,后者也是一个僵尸网络,于 2018 年被首次曝光,后续一直成为美国政府的一个主要行动目标,以破坏其指挥和控制服务器。 据说 Cyclops Blink 和 VPNFilter 恶意威胁的幕后黑手都是 Sandworm,推测该黑客组织与俄罗斯军事情报部门 GRU 有千丝万缕的联系。 最后,尽管美国当局没有明确指出 Cyclops Blink 的攻击目标,但安全研究人员有指出,该僵尸网络能够收集信息并开展间谍活动、发起用峰值流量瘫痪网络和服务器的 DDoS 攻击,并且具有让设备瘫痪、导致系统与网络中断的攻击能力。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1255669.htm 封面来源于网络,如有侵权请联系删除

Google 起诉两名俄罗斯人 称他们利用 Google 服务帮助操纵僵尸网络

Google 正起诉两名俄罗斯人,称他们操纵着一个复杂的僵尸网络发起了多次攻击,该网络已经悄悄地渗透到全球 100 多万台 Windows 机器中。在设备被感染之后,僵尸网络就会窃取用户的证书和数据,秘密挖掘加密货币,并设置代理,通过受感染的机器和路由器输送其他人的互联网流量。 图片来自于 internetsecurity 在一份提交给纽约南区美国地方法院的诉状中,Google 称俄罗斯国民德米特里·斯塔罗维科夫(Dmitry Starovikov)和亚历山大·菲利波夫(Alexander Filippov)是 Glupteba 僵尸网络的两个主要操作者,并列举了据称他们创建的 Gmail 和 Google Workspace 账户来帮助他们运作犯罪企业。 Google 声称,两名被告利用僵尸网络(被描述为“现代的、无边界的有组织犯罪的技术体现”),包括盗窃和未经授权使用 Google 用户的登录和账户信息。它要求 Starovikov 和 Filippov 支付赔偿金,并永久禁止使用 Google 服务。 Google 表示自 2020 年以来一直在追踪 Glupteba 僵尸网络,到目前为止,它已经感染了全球约 100 万台 Windows 机器,并且每天都在以数千台新设备的速度增长。一旦设备被感染,通常是欺骗用户通过第三方“免费下载”网站下载恶意软件–僵尸网络就会窃取用户的证书和数据,秘密挖掘加密货币,并设置代理,通过受感染的机器和路由器输送其他人的互联网流量。 Google在其投诉中补充说:”在任何时候,Glupteba 僵尸网络的力量都可能被用于强大的勒索软件攻击或分布式拒绝服务攻击。除了对所谓的 Glupteba 僵尸网络发起诉讼外,该公司的威胁分析小组(TAG)已经观察到该僵尸网络以美国、印度、巴西、越南和东南亚的受害者为目标。Google 宣布它已经与互联网托管服务提供商合作,破坏了该僵尸网络的关键指挥和控制(C2)基础设施。这意味着其运营商不再控制该僵尸网络,尽管Google警告说,由于Glupteba使用区块链技术作为一种弹性机制,它可能会卷土重来。   (消息及封面来源:cnBeta)

指挥着 10 万多台僵尸机器人网络的黑客被乌克兰警方抓获

乌克兰安全局(SBU)已经逮捕了一名黑客,他开发和利用了一个由超过10万个机器人组成的僵尸网络。该罪犯是一名居住在乌克兰伊万诺·弗兰科夫斯克的普里卡尔帕蒂亚地区的居民。这个庞大的机器人大军被用来触发分布式拒绝服务(DDoS)攻击或用于发送垃圾邮件。 除此以外,他还被用来通过暴力手段来窃取用户凭证,如密码,测试各种网站的弱点,为将来的网络攻击做准备,罪犯通过在线论坛和Telegram销售和接收此类攻击的命令。 SBU利用他在俄罗斯数字支付服务WebMoney上注册的账户追踪到他,这名黑客不慎在那里提供了他的真实地址。 根据《乌克兰刑法典》,该罪犯将根据”第361-1条第2部分(以创作为目的)、361-1条(为使用、分发或销售恶意软件或硬件的目的而创造,以及分发或销售),以及363-1条(干扰工作)。363-1条(通过大量传播电信信息干扰电子计算机(电脑)、自动化系统、计算机网络或电信网络的工作)”被指控。   (消息及封面来源:cnBeta)

安全部门利用 Meris DDoS 创建者的一个纰漏 成功锁定部分僵尸网络设备

俄罗斯电信巨头 Rostelecom 旗下网络安全部门 Rostelecom-Solar 周一表示,发现并利用恶意软件创建者的一个纰漏,成功封锁了 Meris DDoS 僵尸网络部分设备。Meris 僵尸网络在今年早些时候首次被发现,是目前互联网上最大的 DDoS 僵尸网络,其规模估计约为 25 万个受感染的系统。 在过去几个月里,该僵尸网络被攻击者滥用,对俄罗斯、英国、美国和新西兰等几个国家的互联网服务提供商和金融实体进行了 DDoS 勒索攻击。由于这些勒索攻击,很多公司因为僵尸网络的巨大威力而被迫下线。其中最凶猛的几次攻击,Meris 今年两次打破了最大容量 DDoS 攻击的记录,一次是在 6 月,另一次是在 9 月。  Cloudflare 和 Qrator 实验室等互联网基础设施公司在其客户受到攻击后对该僵尸网络进行了分析,发现绝大多数受感染的系统都是 MikroTik 网络设备,如路由器、交换机和接入点。 在上周的一篇博文中,MikroTik表示,攻击者滥用了其RouterOS中的一个旧漏洞(CVE-2018-14847),利用业主尚未更新的设备组装了他们的僵尸网络。 但在周一发表的研究报告中,Rostelecom-Solar 表示,在对这种新的威胁(也一直在攻击其一些客户)进行例行分析时,其工程师发现,一些受感染的路由器正在向一个未注册的域名 cosmosentry[.com] 伸出援手,要求提供新的指令。 Rostelecom-Solar的工程师说,他们抓住了运营商的错误,注册了这个域名并将其转化为一个“天坑”(sinkhole)。经过几天的追踪,研究人员说他们收到了来自约 45000 台受感染的 MikroTik 设备的 ping,这个数字估计约为僵尸网络整个规模的五分之一。 该公司本周说:“不幸的是,我们不能对我们控制下的设备采取任何积极行动(我们没有权力这样做)。目前,大约 45,000 台 MikroTik 设备转向我们的天坑域”。 为了防止MikroTik路由器所有者检测到这些与cosmosentry[.]com的可疑连接,Rostelecom-Solar表示,他们已经设置了一个占位符信息,告知他们谁拥有这个域名以及为什么他们的路由器会进行连接。 此外,研究人员表示,他们还在Meris恶意软件的代码中发现了一些线索,这些线索也让人了解到这个僵尸网络是如何被组装起来的。根据 Rostelecom-Solar 团队的说法,Meris僵尸网络似乎是通过Glupteba组装的,这是一种针对Windows电脑的恶意软件,通常被用作其他各种恶意软件的加载器。 Meris代码的相似性以及许多使用内部IPping Rostelecom天坑的路由器证实了该公司的理论,即Meris是通过Glupteba恶意软件完全或部分组装的。然而,目前还不清楚是Glupteba团伙自己建立了Meris僵尸网络,还是另一个团伙租用了Glupteba感染的主机来部署MikroTik模块,最终产生 Meris。   (消息及封面来源:cnBeta)

针对 Windows 的恶意软件正构筑僵尸网络

早在 2018 年,安全研究人员就已经发现了后被命名为 Purple Fox 的 Rootkit 恶意软件,起初攻击者主要利用网络钓鱼电子邮件和漏洞利用工具包进行传播。然而 Guardicore 安全研究人员 Amit Serper 和 Ophir harpaz 在一篇博客文章中指出:在利用了一种全新的感染技术之后,该恶意软件已能够在 Windows 设备间更迅速地传播,且僵尸网络的规模也在不断增长。 研究人员指出,该恶意软件正在对使用弱密码和面向互联网的 Windows 计算机发起新一轮攻击。此外通过利用新的感染技术,其传播速度也得到了极大的增强。 具体说来是,该恶意软件通过针对服务器信息块(简称 SMB)来猜测 Windows 用户帐户的弱密码,进而使 Windows 与其它设备(例如打印机和文件服务器)进行通信和达成传播感染的目的。 一旦获得了易受攻击的计算机的访问权,Purple Fox 就会从将近 2000 台较旧且受感染的 Windows Web 服务器网络中,提取恶意负载并悄悄安装 Rootkit、让恶意软件持久锚定在计算机上,同时更加难以被发现、检测和删除。 研究人员指出,一旦被感染,该恶意软件就会关闭最初用于感染计算机的防火墙端口,这或许可阻止重复感染、或避免被其它攻击者入侵并劫持受害者的计算机。 之后,该恶意软件会生成一份 Internet 地址列表,扫描网络上具有弱密码的易受攻击的设备,以进一步感染和创建一个不断扩大的僵尸网络。 通常情况下,黑客会利用僵尸网络来发起 DDoS 攻击,但也可以用于散播恶意软件和垃圾邮件、或在受感染的计算机上部署加密劫持用户文件的勒索软件。 Guardicore 北美安全研究副总裁 Amit Serper 表示,由于自身传播的能力较强,蠕虫僵尸网络对受害者造成的风险也更大。相较于此前的网络钓鱼和漏洞利用工具包,蠕虫感染技术的“运营成本”也更低。 作为一种“机会主义”的攻击形式,它会不断扫描互联网并寻找更易受攻击的机器,意味着攻击者可以一劳永逸。 根据 Guardicore 的互联网传感器监测数据,自 2020 年 5 月以来,Purple Fox 的感染率已飙升 600%,且实际数量可能会更高(过去一年总计超狗 90000 感染)。             (消息及封面来源:cnBeta)

僵尸网络 Emotet 基础设施被取缔

全球最危险的恶意软件僵尸网络在全球执法部门共同合作,历经两年的不懈打击下终于被取缔。在欧洲刑警组织、美国联邦调查局、英国国家犯罪局和其他机构的联合行动中,终于控制和取缔了 Emotet 僵尸网络的基础设施。 Emotet 在 2014 年首次以银行木马的形式出现,但随后演变成为网络犯罪分子最强大的恶意软件之一。Emotet 通过自动钓鱼邮件建立一个后门进入 Windows 电脑系统,分发被恶意软件入侵的 Word 文档。Emotet 活动中的电子邮件和文件的主题会被定期更改,以提供最好的机会引诱受害者打开电子邮件并安装恶意软件–常规主题包括发票、发货通知和有关 COVID-19 的信息。 然后,操纵 Emotet 背面的人将这些受感染的设备出租给其他网络犯罪分子,作为额外恶意软件攻击的通道,包括远程访问工具(RAT)和勒索软件。这导致 Emotet 成为欧洲刑警组织所描述的 “世界上最危险的恶意软件 “和 “过去十年中最重要的僵尸网络之一”,像 Ryuk 勒索软件和 TrickBot 银行木马这样的行动雇用访问被 Emotet 入侵的机器,以便安装自己的恶意软件。 因此对 Emotet 的取缔是近年来对恶意软件和网络犯罪分子重要的一次打击活动。欧洲刑警组织欧洲网络犯罪中心(EC3)行动负责人费尔南多·鲁伊斯(Fernando Ruiz)表示:“这可能是我们最近影响最大的行动之一,我们预计它将产生重要的影响。我们对行动结果非常满意”。 世界各地的执法机构经过一周的行动,获得了 Emotet 在全球数百台服务器的基础设施的控制权,并从内部破坏了它。被Emotet感染的机器现在被引导到执法机构控制的基础设施上,这意味着网络犯罪分子无法再利用被入侵的机器,恶意软件也无法再传播到新的目标,这将对网络犯罪行动造成极大的干扰。 Ruiz 表示:“Emotet在很长一段时间内都是我们的头号威胁,拿下它将产生重要影响。Emotet参与了30%的恶意软件攻击;成功拿下将对犯罪环境产生重要影响。我们预计它会产生影响,因为我们正在移除市场上的主要投放者之一–肯定会有一个缺口,其他犯罪分子会试图填补,但在一段时间内,这将对网络安全产生积极影响”。 对Emotet的调查还发现了一个被盗电子邮件地址、用户名和密码的数据库。人们可以通过访问荷兰国家警察网站来检查他们的电子邮件地址是否被Emotet泄露。欧洲刑警组织还与世界各地的计算机应急小组(CERT)合作,帮助那些已知感染Emotet的人。         (消息来源:cnBeta;封面源自网络)