通过联系分散的线索揭示犯罪软件格局剧变-cisco

通过联系分散的线索揭示犯罪软件格局剧变-cisco

ID:32415709

大小:352.25 KB

页数:5页

时间:2019-02-04

通过联系分散的线索揭示犯罪软件格局剧变-cisco_第1页
通过联系分散的线索揭示犯罪软件格局剧变-cisco_第2页
通过联系分散的线索揭示犯罪软件格局剧变-cisco_第3页
通过联系分散的线索揭示犯罪软件格局剧变-cisco_第4页
通过联系分散的线索揭示犯罪软件格局剧变-cisco_第5页
资源描述:

《通过联系分散的线索揭示犯罪软件格局剧变-cisco》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、2016年7月7日,星期四通过联系分散的线索揭示犯罪软件格局剧变作者:NickBiasini在6月的几周内,威胁形势发生了变化。多个高度活跃的威胁突然消失,导致威胁格局出现了前所未见的剧烈变化。如果只是从短期来看,有三周的互联网形势相对安全。到目前为止,Angler漏洞攻击包尚未恢复活动,威胁形势似乎发生了永久性变化。本文将讨论与一个名为Lurk的银行木马相关的一系列事件,以及一个在整个犯罪软件格局中具有深远影响的注册者帐户。详细信息犯罪软件是一种恶意软件,其唯一的目标就是获取金钱。这类恶意软件

2、通常与一些规模最大,而且攻击活动遍布全球的威胁相关,包括各种漏洞攻击包及其最常见的负载勒索软件。犯罪软件的一个主要特性是不加区别地感染大量用户。它们偶尔会针对特定个人或组织,但是大多数情况下是感染那些通过邮件、Web或其他方法与威胁进行交互的用户。最近12至18个月以来,勒索软件一直呈激增之势,所以制作并利用犯罪软件的犯罪分子非法获取的金钱也大幅增加。正因如此,Talos监测到的犯罪软件的类型和数量也在与日俱增。目前尚不清楚各类犯罪软件与制作和运行这些犯罪软件的组织之间存在的联系。但是与犯罪软件

3、相关的最新消息以及威胁形势的一些重大变化表明,有史以来最大的威胁犯罪组织之一很可能已被击溃,或者至少在较长一段时间内不会再有所活动。拘捕公告本月初,一个与恶意软件Lurk有关的黑客组织在俄罗斯落网。Lurk是一款银行木马病毒,其攻击目标主要是俄罗斯的银行。由于该恶意软件仅在俄罗斯活动,所以并没有太多关于该威胁的公开信息。Talos在调查Bedep/Angler攻击者时发现了一些有关Lurk以及控制和命令(C2)域的蛛丝马迹,我们曾在今年2月的卡巴斯基安全分析师峰会上讨论了这些发现,相关公开信息请

4、参阅此处。根据有关此次拘捕行动的公开数据,该黑客组织被指控从俄罗斯多家银行共盗取了约4500万美元。Lurk因为大量报道称此次拘捕行动与Lurk相关,所以本文不再赘述技术层面的内容,而将侧重点放在已确定的C2基础设施。根据各种信息来源,我们编制了一份含有超过125个C2域的列表。根据这些信息,我们开始调查这些域的Whois记录,并发现了一些共性。在已发现的C2域中,约85%都是注册到john[.]bruggink@yahoo[.]co[.]uk这一个注册者帐户名下。已经看过我们的Bedep研究报

5、告的读者应该很熟悉这个邮件地址,因为这是与Bedep和Angler相关的注册者帐户关联的三个邮件地址之一。我们之所以特别关注此特定注册者帐户是因为它在Angler的后端通信中扮演着一定角色。我们发现了一个注册到该帐户的域wittalparuserigh[.]com,此域用于为其中一个Angler漏洞攻击服务器传输的负载提供服务。此外,我们还发现该域拥有与将用户重定向到Angler实例关联的域,并且最终发现此域在一些C2基础设施上托管与BedepC2相同的“默认”网页,以下所示是其中一个示例。An

6、gler的影响目前可以确定的是,Lurk与Angler之间存在一定联系,我们至少可以确定大部分Lurk都是通过Angler传输至俄罗斯境内的受害者。问题是,该漏洞攻击包是否会因为Lurk而受到显著显著影响。如果有,影响程度如何?我们发现,实际影响比我们预计的还要大。在黑客组织落网后一周内,Angler便已从威胁名单上消失。我们不妨插入一个题外话,来讨论一下这个变化的重要意义。从盈利性、多产性、成功性和复杂性来看,Angler堪称犯罪软件相关平台之最。据我们过去的研究显示,该平台的使用者仅仅通过使

7、用户感染勒索软件,每年就能获得约6000万美元的收入。这并不是Angler第一次消失,它最近一次消失是在今年年初(消失了数周)。然而,有其他迹象表明,这次消失并不像年初那样短暂。最主要的迹象是在攻击入口方面。攻击入口是研究漏洞攻击包活动的一个重要部分,因为攻击入口是负责诱使用户与漏洞攻击包进行交互的机制。在这几周中,我们看到犯罪软件开始从Angler大规模迁移至其他漏洞攻击包。从EITest到Neutrino的迁移已有详细介绍。此外,笔者还发现自己在HackInTheBox(黑客暨安全大会)上谈

8、到的攻击入口(影子入口)从Angler迁移到Rig和Neutrino。记得就在一年多以前,笔者就曾发现该攻击入口被用于托管Angler的证据,随后该攻击入口突然发生了转移。现在,大多数大规模攻击入口已经转移到Rig或Neutrino,而年初Angler消失时并未出现这种情况。另据Kafeine报告,潜在漏洞使用者使用这些漏洞攻击包的成本也有所上升,这个迹象再次表明一个重要参与者已经退出舞台。值得注意的是,犯罪软件正在转向的漏洞攻击包列表中没有发现Nuclear。就在Talos和Checkpoin

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。