我们低估了作为世界上最成功、时间最长、规模最大的僵尸网络所能带来的巨大威胁,它已经感染了1500万的机器,并且窃取了数百万的银行账户。
一个拥有八位Fox IT研究人员的团队发现,Ponmocup僵尸网络在其发展巅峰,也就是2011年控制了240万台机器。如今,大概有50万台机器在其控制之下。
第一作者Maarten van Dantzig在本周的BotConf会议上提交了这一纸质报告《Ponmocup:躲在暗处的巨人》。
在这份报告中,他和各位研究者(Danny Heppener、Frank Ruiz、Yonathan Klijnsma、Yun Zheng Hu Erik de Jong、Krijn de Mik和 Lennart Haagsma) 展现了2006年首次发现的恶意软件是如何成功隐身,这可能会给这些俄罗斯作者们带来数百万美金的收益。
“相较于其他的僵尸网络,Ponmocup是当前活跃网络中规模最大的,并且也是运行时间最长的,长达九年。但是运行者一直小心的将它控制在雷达之下,这一点却很少被提及。”van Dantzig说道。
“虽然很难精确地计算Ponmocup僵尸网络赚取金额的具体数字,不过迄今为止,它可能已经赚取数百万美金了。”
“首先来说,他们的系统设施是复杂的、分布广泛的,并且特定任务都有对应的服务器。”
Van Dantzig说,攻击者始终确保这些复杂设备都是质量检测合格的,并且会实时更新来提升其隐身功能,这样可以迅速降低风险。
他还说,这些人都拥有先进的技术和微软过复杂深入接触,有些人已经开发恶意软件十年了。
到目前为止,该团队已经发现了25种独特插件,其变种多达4000个,这就表明了此种恶意软件在持续发展。
恶意软件包括了各种反分析技巧,如启发式检查网络、基于主机的分析工具、调试器和虚拟化环境。它也会为了摆脱分析师们的追踪,狡猾地伪装成有效荷载,研究团队说道。
有效荷载的一种会在正运行的进程中插入明显的可执行文件,这就是令人厌烦的广告插件,通常存在于让人反感的软件捆绑中。
发表评论
您还未登录,请先登录。
登录