hkwljs 发表于 2016-2-11 21:43:28

Dridex僵尸网络服务器遭劫持,为用户下载免费防病毒软件

本帖最后由 hkwljs 于 2016-2-11 21:44 编辑

http://image.3001.net/images/20160206/14547312911025.png
匿名白帽劫持Dridex僵尸网络C&C服务器,将原本用于传播,针对银行业务的木马替换成免费杀毒软件Avira(小红伞)。

Avira (德国防病毒厂商小红伞)表示其安全专家是在几天前发现该情况的,但对于此事也只有初步了解。

Dridex 此前可以说是是最为成功的僵尸网络之一,其給全球用户造成了上千万美元的损失。但在其幕后操纵组织的一个核心成员在塞浦路斯,帕福斯被捕后,该僵尸网络的活跃度便慢慢平息下来。

在此前,我们也可以稍稍了解下Dridex的相关情况,详细可参见:《深入分析擅长“自我保护”的网银木马Dridex》、《FBI、EC3、众安全公司共同击败了Dridex僵尸网络》等

通过欺诈垃圾邮件来进行传播

在这个事件之前,Dridex的正常传播模式是依赖于欺诈垃圾邮件,其中包含着恶意Word 文档。当用户下载并打开该文档之后,用户会被引导开启word宏命令功能 。宏命令允许Word(或其他办公软件如Excel等)执行一系列的自动操作。在这个案例中,恶意Word文件下载打开后,将安装 Dridex,使用户称为僵尸网络的一个节点。一般来说,Dridex通过伪造的web页面,引导用户输入银行相关登陆凭证,如账户、密码等。从Dridex执行方式分析,其对宏命令的依赖程度较高。

DridexC&C服务器遭劫持

从几天前开始,这些Word 宏命令(与外部的 C&C服务器通讯,并引导下载服务器上的木马)开始为用户下载Avira防病毒软件。

从目前的情况来看,应该是有人入侵并劫持了C&C服务器,接着将接收到的下载请求链接到另外一个新的文件:Avira 防病毒软件。对于僵尸网络的C&C服务器遭入侵的情况,其实并不罕见。网络犯罪团伙之间经常通过相互间的攻击,来劫持对方的僵尸网络,从而增强自身恶意软件的传播能力。

在去年10月份,也发生了类似的白帽事件,具体内容可参见《路由器“保护”天使:“恶意软件”Linux.Wifatch》。其中的“主角” Linux.Wifatch“恶意软件”并不以破坏用户路由或窃取信息为目的,其主要的功能是“保护路由不受其他恶意软件感染”,从而提高路由的安全防护能力。

来自Avira的反应

54hacker 发表于 2016-2-12 16:57:04

还是不错的哦,顶了

yusiii 发表于 2016-2-12 23:46:43

还是不错的哦,顶了

arctic 发表于 2016-2-13 13:11:41

支持中国红客联盟(ihonker.org)

Lucifer 发表于 2016-2-13 13:59:49

学习学习技术,加油!

a136 发表于 2016-2-13 17:51:24

感谢楼主的分享~

H.U.C-麦麦 发表于 2016-2-13 20:50:16

还是不错的哦,顶了

云游者 发表于 2016-2-13 21:14:37

支持,看起来不错呢!

wilist 发表于 2016-2-14 00:17:02

H.U.C—Prince 发表于 2016-2-14 01:34:02

页: [1] 2 3 4 5 6 7 8 9 10
查看完整版本: Dridex僵尸网络服务器遭劫持,为用户下载免费防病毒软件