TwitterTwitter FacebookFacebook FlickrFlickr RSSRSS

20100315

Mariposa(蝴蝶)殭屍網絡常見問題解答

下午3:03:00

VSAPI0 意見

 

Mariposa(蝴蝶)殭屍網絡常見問題解答

 

20102月份,西班牙熊貓安全公司(Panda Security)配合FBI和西班牙國民防衛部門破獲了一起殭屍網絡案件,該殭屍網絡名為:Mariposa(蝴蝶),在190個國家傳播,超過 1300萬用戶受到感染,31901個城市的網絡受到不同程度的影響。現就Mariposa(蝴蝶)殭屍網絡的相關問題,回答如下:

 

什麼是殭屍網絡Botnet

 

  是指被殭屍病毒感染的計算機網絡或者計算機組,可由外部控制者操縱。殭屍網絡的控制者可以向其發送指令,包括升級病毒、下載最新的變種、顯示廣告信息、發送垃圾郵件或者發起拒絕服務攻擊等。

 

蝴蝶(Mariposa)殭屍網絡是什麼時候被發現的?

 

  最早是在20095月由加拿大的安全公司Defence Intelligence發現的。

 

它和最近出現的Kneber殭屍網絡有關嗎?或者Zeus木馬?

 

  事實上兩者沒有任何關係,除了都是殭屍網絡以外。Kneber是一個基於Zeus木馬的小型殭屍網絡。現在基於該木馬的殭屍網絡規模全球僅僅只有數百台計算機而已。另外,第一個Zeus木馬出現時間是2007年底,而Mariposa出現時間還不到一年。

 

為什麼蝴蝶殭屍網絡與眾不同?

 

  它是有史以來報導過的最大的殭屍網絡之一,熊貓安全對其日誌文件和木馬特徵研究做了分析,並且研究了該網絡的IP地址,我們意識到被其感染的計算機數量超過一千三百萬台。

 

誰是殭屍網絡的受害者?(企業、家庭用戶…)?它們是從哪裡來的?

 

  由於它感染的計算機數量極為龐大,因此幾乎各種類型的用戶都是其受害者。有非常多的企業都受到了感染,包括美國1000家最大企業中的一半企業。

 

  蝴蝶殭屍網絡所感染的一千三百萬用戶涉及超過190個國家的個人、企業、政府和大學。被竊取的數據包括銀行賬戶、信用卡信息、用戶名、密碼等。

 

這種殭屍網絡會帶來什麼經濟損失?

 

儘管執法機關還在就所獲得的材料和失竊數據進行調查,但從初步的結果來看,因網絡欺詐、財務失竊、數據丟失和還原所導致的損失已經高達數百萬美元。

 

那些罪犯控制蝴蝶殭屍網絡的目的是什麼?

 

大多數情況下,殭屍網絡的動機純粹是為了獲利。他們通過以下途徑達到獲利的目的:將殭屍網絡的一部分出租,安裝控制軟件,竊取用戶信用卡信息,發起分佈式拒絕服務攻擊DDoS等等。

 

在對抓獲的犯罪嫌疑人的計算機硬盤分析的結果顯示,其上游供應商很複雜,並提供了多種服務:攻擊服務器並在上面運行殭屍網絡控制台;對木馬服務進行加密以使其躲過防病毒軟件的檢測;連接到匿名虛擬專用網VPN來運行殭屍網絡,等等。

 

同時,他們竟然也有複雜的客戶網絡,願意為殭屍網絡付費,來竊取信用卡信息或安裝瀏覽器工具欄。

 

計算機被感染後,會有什麼事情發生?

 

被感染的計算機會成為蝴蝶殭屍網絡的一部分,而用戶卻全然不知。從被感染開始,此計算機就變成殭屍網絡的觸手,而其控制者可以發送各種指令給她:安裝新的惡意軟件、發起拒絕服務攻擊等等。

 

同時,殭屍計算機也有蠕蟲的特徵,可以在P2P網絡、即時通訊程序、USB設備(如MP3)、手機等上面傳播。

 

目前採取什麼方法來對付蝴蝶殭屍網絡?

 

專門對付該網絡的「蝴蝶工作組」目前已經成立。這個工作組由Defence Intelligence、佐治亞州技術學院和熊貓安全公司,以及一些安全專家和各個國家的執法機構組成,大家群策群力試圖根除這個殭屍網絡,並將罪犯繩之以法。

 

蝴蝶殭屍網絡的背後是些什麼人?

 

蝴蝶殭屍網絡是由一個名為DDP團隊的網絡犯罪團夥運營,目前調查仍然在不同的國家進行著。

 

調查的過程是怎樣的?這些罪犯是如何被抓獲的?

 

首先,我們設法獲得了關於多個殭屍網絡控制台的一些信息,它們主要位於西班牙,儘管其他國家也有一些。在去年1223日,通過國際性的協作,「蝴蝶工作組」控制了罪犯用以管理蝴蝶殭屍所使用的通訊通道。而殭屍網絡的控制者(外號是Netkairo)非常失望並試圖不惜代價地奪回其中的一些控制權。他通常是以匿名VPN的方式遠程登錄控制台以使他人無法追蹤到他的具體位置,但這次他犯了一個致命錯誤:通過家庭計算機遠程連接到控制台。他試圖奪回其中一個控制台並利用其所控制的所有殭屍計算機向Defence Intelligence發起拒絕服務攻擊。我們最終控制了他的服務器並於23日將其抓獲。

 

Netkairo是一個31歲的西班牙人。在他被抓獲後,西班牙警方通過其計算機中的信息抓獲了該團夥的另外兩個西班牙成員:J.P.R.30歲,外號「jonyloleante」和J.B.R25歲,外號「ostiator」。這兩個人都是於2010224日被捕的,目前調查仍在繼續,預計在未來的幾週內還會在其他國家有更多的罪犯被抓獲。

 

如何判斷你自己的計算機是否是這個殭屍網絡的一部分?

 

熊貓安全公司首先採取的一個步驟是聯繫其他所有的防病毒廠商,將蝴蝶殭屍客戶端的程序樣本發給它們,以便於這些廠商的產品也能夠檢測出這些殭屍程序。因此,在所有防病毒產品升級了病毒庫後,就能夠檢測到你的計算機中是否有殭屍程序了。

 

如何判斷你的系統是否已經受到了蝴蝶殭屍網絡的危害或丟失了信息?

 

Defence Intelligence目前正在聯繫被感染的企業和組織,如果希望瞭解您的企業是否被感染,可以通過郵件來聯繫Defence Intelligence公司,郵箱如下:compromise@defintel.com

 

 

訂閱: 張貼留言 (Atom)
 
PUMA螢光夜跑