<返回更多

揭秘Phorpiex僵尸网络:一旦感染,秒变“肉鸡”

2019-12-02    
加入收藏
揭秘Phorpiex僵尸网络:一旦感染,秒变“肉鸡”

 

Phorpiex,一种兼具蠕虫病毒和文件型病毒特性的僵尸网络病毒,能够借助漏洞利用工具包以及其他恶意软件进行传播,迄今为止已感染超过100万台windows计算机。

另据网络安全公司Check Point的统计,Porpiex僵尸网络每年产生的犯罪收入大概在50万美元左右。

与其他僵尸网络不同,该僵尸网络没有选择使用公共VPS托管服务来托管其命令与控制(C&C)基础设施,而是使用了一些利用盗用身份注册的专用IP子网,为的就是尽量不引起注意。

Phorpiex僵尸网络的架构

最初,Phorpiex使用的是IRC协议,在当时也被称为“Trik”。但在最近,Phorpiex不再使用IRC协议,并且其架构开始呈现模块化。

揭秘Phorpiex僵尸网络:一旦感染,秒变“肉鸡”

图1.带有解密URL的Trik C&C通信转储

目前,Tldr(可能代表“TrikLoader”)已成为Phorpiex僵尸网络的核心部分。Tldr是一个使用HTTP协议与C&C服务器通信的下载程序,主要负责在受感染计算机上加载其他恶意软件。

其中一些Tldr样本还具有蠕虫病毒的功能,可以通过可移动驱动器传播。此外,Check Point还发现了该恶意软件的变种,它们可以像文件病毒一样感染其他软件。

如有必要,攻击者还可以通过加载额外的模块来扩展僵尸网络的功能。

下图展示了当前Phorpiex僵尸网络的感染链以及模块化体系架构。

揭秘Phorpiex僵尸网络:一旦感染,秒变“肉鸡”

图2.Phorpiex的感染链和架构

配备Tldr、VNC蠕虫和NetBIOS蠕虫等模块的目的都是为了发展壮大僵尸网络,Phorpiex运营商的最终目标是获得利润,通常以加密货币为单位,具体方式如下:

 

揭秘Phorpiex僵尸网络:一旦感染,秒变“肉鸡”

图3.不同恶意活动的收益占比

Phorpiex僵尸网络的规模

Phorpiex僵尸网络“肉鸡”会每天持续不断地扫描从配置中提取的域名和IP地址,即使是C&C服务器做出响应,也会继续查询其他主机。

在过去的两个月里,Check Point记录了超过100万个独立主机的连接,每天约有10万个“肉鸡”处于活动状态,每小时平均有1.5万个“肉鸡”同时在线。

揭秘Phorpiex僵尸网络:一旦感染,秒变“肉鸡”

图4.每小时的在线“肉鸡”数量

“肉鸡”主要位于亚洲国家/的确,包括印度、中国、泰国和巴基斯坦。此外,在美国、墨西哥和一些非洲国家/地区也有“肉鸡”的存在,欧洲几乎不受影响。

C&C基础设施

所有Phorpiex模块都使用硬编码的IP地址和域名进行C&C通信,但域名列表会定期更新。在今年监测Phorpiex期,Check Point发现了4000多个不同的Tldr样本,其中包含了大约300种配置以及3297个域名和IP地址。

值得注意的是,Tldr与Trik“肉鸡”使用的是相同的C&C服务器:

揭秘Phorpiex僵尸网络:一旦感染,秒变“肉鸡”

图5.Phorpiex僵尸网络的C&C服务器

结论

Phorpiex被作为一种恶意软件即服务(Malware-as-a-Service,MaaS)在暗网出售,通常每感染1000台计算机的价格在100美元到1000元美元不等,具体取决于目标计算机所处的国家/地区。

感染100万台计算机,大约需要向恶意软件即服务提供方支付10万美元,再扣除支付给漏洞利用工具包提供方的费用以及花费在传播技术(如VNC蠕虫模块、NetBIOS蠕虫模块以及文件病毒功能)上的成本,创建这样一个僵尸网络似乎仍然是非常有利可图的。

这个案例再次告诉我们,如今的网络犯罪分子想要创建一个庞大的僵尸网络,已经无需对计算机编程、密码学等有太多的了解,只要花上一笔钱就能够轻松办到。暗网,正在进一步降低网络犯罪的门槛。

声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多资讯 >>>