本文是有關(guān)網(wǎng)絡(luò)犯罪套件（如漏洞攻擊工具組）如何讓不具專業(yè)技術(shù)的犯罪者也能建立僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet并且發(fā)動惡意攻擊的討論文。

全球一些由數(shù)十萬臺個人電腦組成的大型僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet受到了相當(dāng)大的關(guān)注。但是，一些較小的 僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet 網(wǎng)絡(luò)卻沒有引起太大的關(guān)心。現(xiàn)在，網(wǎng)絡(luò)犯罪地下經(jīng)濟(jì)體系隨處可見一些用來建立和維護(hù) Bot 網(wǎng)絡(luò)并收取利潤的工具和服務(wù)，只要花點錢就能買到。這些 DIY 式網(wǎng)絡(luò)自助犯罪工具套件，讓一些不具專業(yè)技術(shù)的歹徒也能架設(shè)并經(jīng)營自己的僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet。

網(wǎng)絡(luò)上可找到的工具包括：專門利用訪問者系統(tǒng)的軟件漏洞而入侵其系統(tǒng)的漏洞攻擊套件，以及可將訪問者重新導(dǎo)至其他網(wǎng)站或至別處下載惡意程序的流量重導(dǎo)系統(tǒng)。

精密的惡意程序散播技巧

這類工具可讓僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet經(jīng)營者彼此合作，或者參與聯(lián)合行動。有了這類工具，現(xiàn)在，惡意程序的作者就能付費請僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet網(wǎng)絡(luò)經(jīng)營者代為將惡意程序安裝至受害者的電腦上。一個僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet可用來散播各式各樣的惡意程序，例如：SpyEye、ZeuS 或假殺毒軟件。

網(wǎng)絡(luò)犯罪者需要吸引訪問者連上他們的惡意網(wǎng)站，才能在訪問者的電腦上安裝惡意程序。為了吸引訪問者流量，僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet經(jīng)營者通常會在地下聊天室或地下論壇上購買合法網(wǎng)站的 FTP 帳號密碼。此外，一旦 僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet上線運作之后，其幕后經(jīng)營者就能在已入侵的系統(tǒng)上直接竊取一些 FTP 帳號密碼。偷到的帳號密碼，歹徒還可以用來入侵其他合法的網(wǎng)站，然后再將合法網(wǎng)站的使用者重導(dǎo)至自己所控制的服務(wù)器。

本文將分析一臺惡意程序服務(wù)器的運作方式，此服務(wù)器用來接收已入侵網(wǎng)站重導(dǎo)過來的流量。訪問者會被重導(dǎo)至一個漏洞攻擊套件。如果訪問者的系統(tǒng)被入侵成功，訪問者的電腦就會連線至一個程序植入工具 （loader），該工具再將各式各樣的惡意程序傳送至訪問者的電腦 （視訪問者所在地理區(qū)域而定）。只要有心犯罪，這些工具和方法在網(wǎng)絡(luò)犯罪地下經(jīng)濟(jì)體系當(dāng)中都隨手可得。

Phoenix漏洞攻擊套件

在這個案例中，三個惡意的iframe會被植入合法的網(wǎng)站當(dāng)中。如此會將瀏覽該網(wǎng)站的訪問者導(dǎo)向一個Bot網(wǎng)絡(luò)經(jīng)營者的外部網(wǎng)站。其中一個iframe會偷偷將訪問者導(dǎo)向?qū)ｉT散播Phoenix漏洞攻擊套件 的服務(wù)器。

這個漏洞攻擊套件會判斷訪問者的操作系統(tǒng)和瀏覽器版本，然后再攻擊特定的漏洞以便在在訪問者電腦上執(zhí)行惡意程序。此攻擊涵蓋了一些熱門套裝軟件的漏洞，例如：Adobe Flash Player、Adobe Reader以及Java。

 #p#

全部加起來，這個 Phoenix漏洞攻擊套件總共獲得了17,628 位訪問者，而且成功入侵了其中850 位（4.82%）的電腦。這項套件發(fā)現(xiàn)，最容易攻擊成功的是含有漏洞的Java 版本。在攻擊成功之后，該套件就會在訪問者的電腦上植入一個惡意的執(zhí)行文件 （也就是我們偵測到的TROJ_RENOS.NRT），讓電腦連線至另一群完全不同的幕后操控服務(wù)器。

與其他套件連結(jié)

這個Phoenix漏洞攻擊套件的訪問者幾乎都是來自于英國。顯然，該Bot網(wǎng)絡(luò)的幕后經(jīng)營者可能是向其他網(wǎng)絡(luò)犯罪者購買了來自英國的流量，或者是入侵了某個英國的熱門網(wǎng)站。

同一部服務(wù)器上也還有其他 Phoenix 漏洞攻擊套件復(fù)本。在所有案例中 （不限于前述討論的案例），該套件所植入的程序都會連線至同一服務(wù)器上的好幾個DLoader復(fù)本。例如，該套件的其他復(fù)本共獲得了5,871位訪問者。這些訪問者主要來自德國和俄羅斯。其中有360位（6.13%）是因為Java 漏洞攻擊而被入侵成功 （再次成為榜首）。

 #p#

這些植入的惡意程序會強(qiáng)迫使用者電腦連上同一服務(wù)器上的多份DLoader復(fù)本。這些Phoenix漏洞攻擊套件的復(fù)本，就是趨勢科技所偵測到的TROJ_INJECT.XSI、TROJ_DLOADER.TEP、TROJ_BAMITAL.AJ 和 TROJ_OBFUS.CJ。

在下面我們將進(jìn)一步說明DLoader工具組，以及該工具組如何提供一種隨安裝次數(shù)付費（Pay-Per-Install）的Bot網(wǎng)絡(luò)經(jīng)營模式。

DLoader和Bot網(wǎng)絡(luò)經(jīng)營模式

惡意程序散播通常是一種合作關(guān)系或聯(lián)合的行動。Bot網(wǎng)絡(luò)賺錢的方式之一，就是所謂的隨安裝次數(shù)付費（Pay-Per-Install，簡稱PPI）模式，也就是只要在一臺受害電腦上安裝一份惡意程序，就可以賺取一筆費用。

DLoader是一種網(wǎng)頁式系統(tǒng)管理工具，可讓Bot網(wǎng)絡(luò)經(jīng)營者管理旗下的Bot電腦所要安裝的惡意程序。每完成一次安裝，Bot網(wǎng)絡(luò)的經(jīng)營者就可以向合作夥伴收取一筆費用。

DLoader的價碼在地下論壇大約是250美元。雖然它的功能主要是安裝其他惡意程序，但它也可能伴隨一些額外的模組一起販?zhǔn)郏纾簩ｉT竊取 FTP 帳號密碼的FTP GRABBER以及專門盜取熱門線上撲克網(wǎng)站帳號密碼的POKER ACCOUNT GRABBER。這些要價大約是200美元。FTP帳號竊取工具之所以重要，是因為它可讓Bot網(wǎng)絡(luò)經(jīng)營者在合法網(wǎng)站當(dāng)中植入惡意程序碼，進(jìn)而將瀏覽該網(wǎng)站的使用者導(dǎo)向漏洞攻擊套件。如此，Bot網(wǎng)絡(luò)經(jīng)營者就能擁有源源不絕的受害者來源。

依國別而不同植入不同惡意程序

我們分析了前一篇文章所述的服務(wù)器上各個DLoader復(fù)本。其中的一個復(fù)本掌管了7,957臺Bot電腦，主要分布在越南和印尼。另一個復(fù)本掌管了10,726臺Bot電腦，主要分布在德國和俄羅斯。該服務(wù)器上的DLoader復(fù)本包含了各式各樣的惡意程序，它們會視Bot電腦所在國家而提供不同的程序。

#p#

例如，德國的Bot電腦都會去下載某一個SpyEye變種（TSPY_SPYEYE.ATC）。而美國、加拿大、英國、澳洲和法國的受害電腦則會下載另一個不同的SpyEye變種（TROJ_SPYEYES.JAN）。

至于俄羅斯的受害者則是去下載一個 Meredrop 變種 （TROJ_MEREDROP.TG）。預(yù)設(shè)下載的程序都是各種不同的假殺毒產(chǎn)品。

為了讓讀者體會一下該服務(wù)器所提供的惡意程序種類之多，特別在此列出一些我們已偵測到的惡意程序名稱：

TROJ_FRAUDL.SMMZ

TROJ_HILOTI.SMAE

TSPY_SPYEYE.ATC

TSPY_ZBOT.PB

TROJ_FAKEAV.SMT1

TROJ_SPYEYES.JAN

TROJ_SPYEYES.AE

TROJ_MEREDROP.TG

TROJ_FAKEAV.SMDF

TSPY_SPYEYE.TRF

TROJ_KRYPTK.XFX

雖然小型 Bot 網(wǎng)絡(luò)通常不受人注意，但它們依然是惡意程序的重要命脈。其經(jīng)營者不僅是惡意程序工具組的消費者，也是大型 Bot 網(wǎng)絡(luò)經(jīng)營者的受害者名單來源，同時更是假殺毒軟件的散播者。惡意程序工具組的公開流傳，讓有心從事網(wǎng)絡(luò)犯罪但不具專業(yè)能力的歹徒也能進(jìn)行漏洞攻擊、散播惡意程序，這些原本都是他們不可能辦到的事。

【編輯推薦】

1. 網(wǎng)絡(luò)犯罪愈演愈烈 誰該為此承擔(dān)責(zé)任?
2. 回顧網(wǎng)絡(luò)犯罪十年歷程
3. 公司主管要知道的七個網(wǎng)絡(luò)犯罪真相
4. 與僵尸網(wǎng)絡(luò)等無形的威脅做斗爭的11種方法

【責(zé)任編輯：陳博文 TEL：（010）68476606】