新闻中心

Hot News

Ramnit归来!并建立了一个巨大的代理殭尸网络

Checkpoint信息安全研究员发现了一个庞大的代理殭尸网络,被追踪为「Black」殭尸网络,这可能是涉及Ramnit运营商的更广泛持续性运营标志。


Ramnit是目前最流行的银行恶意软件系列之一,它于2010年首次被发现为蠕虫病毒,2011年其作者从泄漏的Zeus源代码开始改进它,将恶意软件转变为银行木马。2014年,它成功的达到了巅峰,成为世界上第四大殭尸网络。

2015年,欧洲刑警组织与几家私营的科技公司合作,宣布拆除Ramnit中继站的基础设施。几个月后,Ramnit又回来了,IBM信息安全公司的研究员发现了知名的Ramnit木马的新变种。最近专家观察到,「Black」殭尸网络活动在两个月内已经感染了10万个系统ㄝ这只是冰山一角,因为据研究人员称,被称为Ngioweb的第二阶段恶意软件已经蔓延。Ramnit运营商正在使用这两种恶意软件来建立一个可用于许多诈骗活动(DDoS攻击、基于勒索软件的活动、数字货币挖矿活动)的大型多用途代理殭尸网络。

“Checkpoint发布的分析:『最近我们发现了Ramnit中继站(185.44.75.109),它与之前最知名的泱虱网络「demetra」无关。根据解析为此中继站服务器IP地址的域名,它假装控制甚至是旧的bot,这在2015年首次出现。由于RC4密钥「Black」,我们将此殭尸网络命名为「Black」,即用于此殭尸网络中的流量解密。』『这个中继站服务器自2018年3月6日起实际上一直处于活跃态,但由于当时「Black」殭尸网络的数量还没有引起人们的注意。然而,在2018年5月至7月,我们发现了一个新的Ramnit活动,大约有100000台计算机被感染。』

据专家介绍,在Black的活动中,Ramnit恶意软件是透过垃圾邮件活动散播的。恶意代码用作第一阶段恶意软件,用于派送称为Ngioweb的第二阶段恶意软件。“Checkpoint发布的分析继续提到:『Ngioweb代表了一种多功能代理服务器,它使用自己的二进制协议和两层加密』『代理恶意软件支持反向联机模式、中继模式、IPv4、IPv6协议、TCP和UDP传输,2017年下半年可以看到第一批样本。』

Ngioweb利用两阶段中继站基础设施,STAGE-0中继站服务器通知恶意软件有关STAGE-1中继站服务器,而未加密的HTTP联机用于此目的。第二个STAGE-1中继站服务器用于透过加密联机控制恶意软件。

Ngioweb恶意软件可以在两种主要模式下运作,及常规的反向联机代理和中继代理模式在中继代理模式中,恶意软件允许运营商建立Proxy chain并将其服务隐藏在Bot的IP地址之后。

下面是使用Ngioweb殭尸网络建立隐藏服务的操作顺序:

  1. Ngioweb Bot-A联机到中继站STAGE-0并接收命令以联机到中继站服务器STAGE-1,地址为X:6666。
  2. Ngioweb Bot-A在X:6666联机到中继站STAGE-1(Server-X)。
  3. Server-X要求Bot启动TCP服务器。Ngioweb的bot回报使用的IP地址和通讯端口启动TCP服务器。
  4. 恶意软件操作者在DNS中(或使用任何其他公开频道)发布Bot-A的地址。
  5. 另一个恶意软件Bot-B使用DNS(或使用任何其他公开频道)解析Bot-A的地址。
  6. Bot-B联机到Bot-A。Bot-A建立与Server-X的新联机,并作为Server-X和Bot-B之间的中继。

Checkpoint发布的分析报告包括IoC在内的更多详细信息。

守内安信息科技(上海)有限公司,是上海市政府及国家奖励支持的软件自主研发高科技创新企业,钻研于邮件过滤管理和网络内容安全,不断推陈出新,产品均取得国家版权局的计算机软件著作权。

主要的产品有:

  1. HMDS高性能邮件威胁防御系统
  2. Mail Archiving Expert电子邮件归档专家
  3. Mail SQR Expert电子邮件防泄密(审计)管理

关注“softnext守内安”公众号,获取更多资讯

登入

登入成功