在俄羅斯一個劫持50萬臺電腦的惡意軟體計劃中

在最鼎盛時期，這個惡意軟體集團控制了50萬臺電腦，透過擊鍵記錄獲取銀行密碼，然後將電腦放入僵屍網路中工作。透過緩慢的發展和領先於防毒軟體一步，該組織得以多年不被髮現——直到其自身的安全漏洞讓一位名叫韋恩·黃（Wayne Huang）的Proofpoint安全研究員從內部瞭解了該組織。...

在最鼎盛時期，這個惡意軟體集團控制了50萬臺電腦，透過擊鍵記錄獲取銀行密碼，然後將電腦放入僵屍網路中工作。透過緩慢的發展和領先於防毒軟體一步，該組織得以多年不被髮現——直到其自身的安全漏洞讓一位名叫韋恩·黃（Wayne Huang）的Proofpoint安全研究員從內部瞭解了該組織。

今天上午，黃光裕釋出了一份調查結果報告，罕見地全面剖析了一次惡意軟體操作，從第一次安全漏洞到給他們帶來回報的欺詐手段。這不是一個特別新穎或複雜的計劃-按照僵屍網路的標準，50萬是大聯盟的低端-但它提供了一個新的視窗，瞭解這些團體用來隱藏的複雜戰術。對於任何從網站或控制檯看到奇怪行為的人來說，這提醒我們，真正的感染往往比你想象的更難發現。”他們很少大規模註射。他們不做大規模的活動，所以他們不在人們的雷達上，”黃說但一旦他們進來，他們就會建立一個非常強大的後門。”

<**all>The attack chain, as described by Huang</**all>

騙子們的第一步是在黑暗的網路上購買密碼，為先前的一次洩露支付資料。這讓他們在第一批網站中站穩了腳跟，該集團可以在那裡安裝自己的自定義shell，讓他們可以訪問網站上的任何內容，同時允許網站所有者像往常一樣更新網站。當系統執行時，網站所有者從不知道其中的區別。他們仍然有管理員許可權，而且沒有明顯的跡象表明添加了另一個更強大的管理員。當網站所有者像往常一樣釋出資訊時，攻擊者會利用新的後門感染網站的讀者，向網站程式碼中註入大量惡意軟體。從那裡，攻擊者將監控銀行登入資訊的按鍵，用於徹頭徹尾的欺詐，並向任何想透過陌生人的網際網路連線來偽裝其網路流量的人**被劫持計算機網路的訪問權。

這個小組總是比防毒軟體更新早一步

大多數受感染的網站都在執行定期的防病毒掃描，但攻擊者只小心使用不會引發任何警報的漏洞。在他們上傳任何程式碼之前，他們會對照Scan4U資料庫進行檢查，Scan4U資料庫收集了數十家反病毒公司的資料。如果資料庫識別出該組的漏洞，他們將更改程式碼，直到它悄悄溜走，確保他們總是比防病毒更新提前一步。

他們還採取了一些措施，把黃某這樣的研究人員排除在外。如果一個網站訪問者看起來像一個自動惡意軟體掃描器，流量分配系統會隔離訪問者，並將他們路由到一個乾凈的網站版本，這表明沒有任何問題。該系統還儲存了一份由安全研究公司使用的IP地址列表，並確保來自這些地址的任何流量也能到達乾凈的站點。因此，許多網站所有者面對黃拒絕相信他們被感染了。反病毒掃描結果將是空的，大多數獨立研究人員將看到一個完全乾凈的網站。

不過，雖然駭客的安全保護措施很好，但並不完美。黃的突破來自於他找到了攻擊者控制面板的網址。他們沒有想過要用密碼來保護控制裝置，所以一旦黃找到了它，他就瞭解了小組正在做的每件事，包括他們用來把其他研究人員趕跑的反措施。最終，該組織增加了一個密碼，將黃某拒之門外，但當時為時已晚。

<**all>A screenshot of the attacker's control panel.</**all>

一旦攻擊者開始以個人使用者為目標，他們就嚴重依賴預先購買的漏洞攻擊工具包，從流行的黑洞工具包開始，再到甜橙和鳳凰城等較新的工具包。他們使用了一系列漏洞——針對PDF外掛、Java、Flash和Internet Explorer，具體取決於使用者的獨特漏洞——但該組織幾乎將所有這些工作都留給了其他人，在漏洞可用時購買漏洞，在補丁變得更為常見時放棄漏洞。

“我們有很多不開心的網站管理員。”

儘管如此，儘管黃怒波對這個組織的所有細節，他們也不太可能很快被繩之以法。把網路追溯到個人身上還有很多工作要做，目前還不清楚誰願意插手。拆除僵屍網路是一個眾所周知的漫長而漫長的過程，雖然俄羅斯執法部門近年來已經取得了一些重大進展，但它可能不會對這麼大的裝備留下深刻印象。黃先生最希望的是，下次告訴某網站他發現了感染時，他會更加自信一點。”“我們得到了很多不高興的網站管理員誰相信我們已經誣陷他們感染，”黃說所以我們當然希望那些人能讀到這份報告”

更廣泛地說，這標志著網路安全還有多遠的路要走。研究人員對諸如Heartbleed之類的漏洞給予了大量關註，Heartbleed為攻擊者提供了最初的立足點，而流行軟體中的漏洞則讓攻擊者利用個別使用者進行攻擊。但像這樣的持續感染常常被忽視。因此，一旦攻擊者將後門構建到伺服器或站點中，正確的所有者可能需要數年時間才能重新獲得控制權。對於報告中詳述的50萬臺電腦來說，這是一個令人不安的想法。