新闻资讯  快讯  焦点  财经  政策  社会
互 联 网   电商  金融  数据  计算  技巧
生活百科  科技  职场  健康  法律  汽车
手机百科  知识  软件  修理  测评  微信
软件技术  应用  系统  图像  视频  经验
硬件技术  知识  技术  测评  选购  维修
网络技术  硬件  软件  设置  安全  技术
程序开发  语言  移动  数据  开源  百科
安全防护  资讯  黑客  木马  病毒  移动
站长技术  搜索  SEO  推广  媒体  移动
财经百科  股票  知识  理财  财务  金融
教育考试  育儿  小学  高考  考研  留学
您当前的位置:首页 > IT百科 > 安全防护 > 资讯

揭秘Phorpiex僵尸网络:一旦感染,秒变“肉鸡”

时间:2019-12-02 15:41:25  来源:  作者:
揭秘Phorpiex僵尸网络:一旦感染,秒变“肉鸡”

 

Phorpiex,一种兼具蠕虫病毒和文件型病毒特性的僵尸网络病毒,能够借助漏洞利用工具包以及其他恶意软件进行传播,迄今为止已感染超过100万台windows计算机。

另据网络安全公司Check Point的统计,Porpiex僵尸网络每年产生的犯罪收入大概在50万美元左右。

与其他僵尸网络不同,该僵尸网络没有选择使用公共Vps托管服务来托管其命令与控制(C&C)基础设施,而是使用了一些利用盗用身份注册的专用IP子网,为的就是尽量不引起注意。

Phorpiex僵尸网络的架构

最初,Phorpiex使用的是IRC协议,在当时也被称为“Trik”。但在最近,Phorpiex不再使用IRC协议,并且其架构开始呈现模块化。

揭秘Phorpiex僵尸网络:一旦感染,秒变“肉鸡”

图1.带有解密URL的Trik C&C通信转储

目前,Tldr(可能代表“TrikLoader”)已成为Phorpiex僵尸网络的核心部分。Tldr是一个使用HTTP协议与C&C服务器通信的下载程序,主要负责在受感染计算机上加载其他恶意软件。

其中一些Tldr样本还具有蠕虫病毒的功能,可以通过可移动驱动器传播。此外,Check Point还发现了该恶意软件的变种,它们可以像文件病毒一样感染其他软件。

如有必要,攻击者还可以通过加载额外的模块来扩展僵尸网络的功能。

下图展示了当前Phorpiex僵尸网络的感染链以及模块化体系架构。

揭秘Phorpiex僵尸网络:一旦感染,秒变“肉鸡”

图2.Phorpiex的感染链和架构

配备Tldr、VNC蠕虫和NetBIOS蠕虫等模块的目的都是为了发展壮大僵尸网络,Phorpiex运营商的最终目标是获得利润,通常以加密货币为单位,具体方式如下:

  • 性勒索垃圾邮件(Sextortion spam);
  • 非法挖矿(Crypto-jacking);
  • 通过剪贴板窃取加密货币钱包(Crypto-currency clipping);
  • 加载其他恶意软件(如间谍软件Raccoon、Predator The Thief等)。

 

揭秘Phorpiex僵尸网络:一旦感染,秒变“肉鸡”

图3.不同恶意活动的收益占比

Phorpiex僵尸网络的规模

Phorpiex僵尸网络“肉鸡”会每天持续不断地扫描从配置中提取的域名和IP地址,即使是C&C服务器做出响应,也会继续查询其他主机。

在过去的两个月里,Check Point记录了超过100万个独立主机的连接,每天约有10万个“肉鸡”处于活动状态,每小时平均有1.5万个“肉鸡”同时在线。

揭秘Phorpiex僵尸网络:一旦感染,秒变“肉鸡”

图4.每小时的在线“肉鸡”数量

“肉鸡”主要位于亚洲国家/的确,包括印度、中国、泰国和巴基斯坦。此外,在美国、墨西哥和一些非洲国家/地区也有“肉鸡”的存在,欧洲几乎不受影响。

C&C基础设施

所有Phorpiex模块都使用硬编码的IP地址和域名进行C&C通信,但域名列表会定期更新。在今年监测Phorpiex期,Check Point发现了4000多个不同的Tldr样本,其中包含了大约300种配置以及3297个域名和IP地址。

值得注意的是,Tldr与Trik“肉鸡”使用的是相同的C&C服务器:

揭秘Phorpiex僵尸网络:一旦感染,秒变“肉鸡”

图5.Phorpiex僵尸网络的C&C服务器

结论

Phorpiex被作为一种恶意软件即服务(Malware-as-a-Service,MaaS)在暗网出售,通常每感染1000台计算机的价格在100美元到1000元美元不等,具体取决于目标计算机所处的国家/地区。

感染100万台计算机,大约需要向恶意软件即服务提供方支付10万美元,再扣除支付给漏洞利用工具包提供方的费用以及花费在传播技术(如VNC蠕虫模块、NetBIOS蠕虫模块以及文件病毒功能)上的成本,创建这样一个僵尸网络似乎仍然是非常有利可图的。

这个案例再次告诉我们,如今的网络犯罪分子想要创建一个庞大的僵尸网络,已经无需对计算机编程、密码学等有太多的了解,只要花上一笔钱就能够轻松办到。暗网,正在进一步降低网络犯罪的门槛。



Tags:Phorpiex   点击:()  评论:()
声明:本站部分内容来自互联网,内容观点仅代表作者本人,如有任何版权侵犯请与我们联系,我们将立即删除。
▌相关评论
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
▌相关推荐
Phorpiex,一种兼具蠕虫病毒和文件型病毒特性的僵尸网络病毒,能够借助漏洞利用工具包以及其他恶意软件进行传播,迄今为止已感染超过100万台Windows计算机。另据网络安全公司Che...【详细内容】
2019-12-02   Phorpiex  点击:(0)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条