Stormshield安全公司的安全研究员Benkow报告称,在最近的几个星期,Gamarue僵尸网络(也叫Andromeda)异常的活跃,而且该僵尸网络还使用了不同的方法来传播其恶意Payload。
安全研究人员早在2011年的7月份就发现了Gamarue僵尸网络,当时它出现在一个地下黑市之中,犯罪分子在该僵尸网络的出售贴中是这样描述Gamarue的:这是一个模块化的僵尸网络,你可以用它来传播各种类型的恶意软件,无论是盗取信息的恶意软件,还是银行木马,从勒索软件,到恶意软件,这个僵尸网络无所不能。
随着时间的推移,这一僵尸网络一直都处于不断地发展和进化之中。由于这一僵尸网络有着非常有效的危险检测回避机制,所以这个僵尸网络直至今天都没有被消灭。
安全专家对僵尸网络Gamarue的C&C服务器目录进行了分析和研究
正如Benkow在他所发表的技术文章中解释的那样,Gamarue僵尸网络的操控者已经逐渐将恶意Payload从传统的可执行文件转变成封装在ZIP附件中的恶意JavaScript文件了,而这种模式也与现在勒索软件攻击者所采用的攻击模式类似,当zip文件被解压之后,嵌入在其中的恶意文件将会自动执行,并感染目标用户的计算机系统。
起初,这样的一种攻击模式并没有引起安全专家们的注意,直到Benkow发表了他的研究报告,Benkow担心这种攻击技术将会变得更加的流行。我们可以看到, 通过分析和研究,Benkow发现了一个用于控制Gamarue的C&C服务器的IP地址。在浏览器中访问了这个IP之后,他便开始尝试利用浏览器来访问Web服务器的目录文件。
从这里,他成功地发现了这个僵尸网络从目标用户系统中窃取来的信息,这简直就是一个蕴藏着大量信息的宝藏。在他所发现的信息中,包括攻击者从目标用户本地计算机中窃取来的Outlook邮箱登录凭证,从本地浏览器中提取出的cookie信息,甚至还包括Pony恶意软件所窃取来的各种后台信息。
安全研究人员发现了用于控制Gamarue僵尸网络的PCB管理控制台
因为Benkow发现,这个恶意软件活动会传播Pony信息窃取软件,传播垃圾邮件的恶意软件包,以及Hioles代理恶意软件。除此之外,安全研究人员也在寻找攻击者用于控制代理恶意软件的控制台。
最终,他成功地发现了一款用于控制这一僵尸网络的工具,即ProxyCB(PCB)。安全研究专家设法登录进了这个控制台,然后获取到了更多关于Gamarue僵尸网络的信息,包括受该僵尸网络影响的用户信息,例如用户的地理位置,以及很多其他的细节信息。
上图显示的是Pony管理后台的登录界面
但是,Benkow并没有停下他探索的脚步。在C&C服务器的根目录下,他还发现了一个HTML文件,这个文件中包含有经过混淆处理的源代码。在对这些代码进行了分析之后,他发现这些代码就是嵌入在垃圾邮件中的恶意JavaScript代码,攻击者会将这些垃圾邮件发送给目标用户,以此来感染目标用户的计算机系统。
Gamarue僵尸网络可以利用WordPress站点来发送垃圾邮件
最后,Benkow还发现了Gamarue僵尸网络用于发送垃圾邮件的工具源代码,攻击者可以利用这个应用程序来发送包含有恶意WIP+JS附件的垃圾邮件。在对这款工具进行了分析之后,研究人员发现这个工具是专门用来劫持CMS系统(内容管理系统)的,这款工具的大多数攻击目标都是基于WordPress的网站,Gamarue僵尸网络的控制者可以利用这款工具来向目标网站发送垃圾邮件。
在Benkow的研究报告中,我们认为最有价值的部分在于他在报告结尾所给出的安全建议,这些建议可以算得上是这几个月内我们所见到的实用性最强的安全建议了。
在此,我们也需要给广大用户提供一些额外可行的安全建议。为了保护服务器的安全,大家可以改变系统用于执行”.js”文件的默认方式,比如用notepad.exe来代替wcript.exe去读取’.js’文件,这样可以防止用户以错误的方式来执行脚本文件。不仅如此,这种操作方式还可以有效地防止用户直接运行恶意的JavaScript文件,而且也可以防止服务器和工作站被恶意软件所感染。
发表评论
您还未登录,请先登录。
登录