近期,賽門鐵克與其他合作伙伴攜手歐洲刑警組織下屬的歐洲網絡犯罪中心(EC3)連手出擊,一舉破獲了Ramnit僵尸網絡(賽門鐵克檢測為W32.Ramnit.B)所持有的服務器和其它基礎設施。該網絡犯罪團體已經從事犯罪活動超過五年時間,在此期間內發展成為一個大型犯罪集團,通過僵尸網絡總共感染超過320萬臺計算機,欺詐了眾多無辜受害者。在此次合作中,賽門鐵克提供了重要的全球范圍內的威脅數據與分析。基于其全球智能網絡(Global Intelligence Network)以及全天不間斷服務的(24x7)安全運營中心,賽門鐵克擁有全球最完整的實時網絡威脅數據資源,在分析、應對網絡犯罪中發揮了核心作用。
一旦入侵成功,Ramnit將為犯罪分子提供多種欺詐途徑,使其能夠遠程訪問并控制受感染的計算機。它能夠監控受害者的網絡瀏覽進程并竊取銀行憑證。此外,它還能夠竊取網站cookie,使犯罪分子冒充受害者并從硬盤上讀取文件,以及為攻擊者分配遠程訪問該計算機的權限,以便泄露竊取信息或下載其它惡意軟件。
Ramnit(W32.Ramnit)的初始形態是蠕蟲病毒,首次出現于2010年,激進的自繁殖策略使其得到迅速傳播。一旦入侵計算機,該病毒就會找出本地硬盤和移動硬盤上所有的EXE、DLL、HTM和HTML文件,通過自身副本感染這些文件。
這款惡意軟件隨著時間進化,其控制者把重點從構筑僵尸網絡轉移到利用僵尸網絡。為了實現多種感染方法,Ramnit的最新版本(W32.Ramnit.B)已經放棄了文件感染套路。它從Zeus Trojan借鑒了幾種不同的模塊(Trojan.Zbot,其源代碼于2011年5月泄露),大幅度提高了網絡犯罪能力。這一發展使Ramnit僵尸網絡轉變為一個巨大的網絡犯罪帝國,入侵了高達35萬臺計算機,大量竊取了受害人的銀行憑證、密碼、cookie和個人文件等。
Ramnit特性
現在,Ramnit已經成為一款功能全面的網絡犯罪工具,具有6個標準模塊,為攻擊者提供了多種入侵途徑。
1.間諜模塊:能夠監控受害人的網絡瀏覽活動,并檢測他們所訪問特定網頁的時間(例如,網絡銀行網站)。它能夠將自身植入受害者的瀏覽器,并操縱銀行的網站,使其看起來像是銀行在要求受害人提供額外憑證,例如信用卡詳細信息等。犯罪分子將利用這些被竊取的數據進行欺詐。
2.cookie提取工具:該特性將從網絡瀏覽器中竊取會話cookie,并發送回攻擊者。攻擊者將利用這些cookie使其通過網站認證,進而冒充受害者,并劫持網絡銀行活動。
3.硬盤掃描工具:該功能能夠掃描計算機的硬盤,并從中竊取文件。它的配置可以搜索有可能包含密碼等敏感信息的特定文件夾。
4.匿名FTP服務器:通過連接到此服務器,該惡意軟件能夠使攻擊者遠程訪問受入侵的計算機,并瀏覽其中的文件系統。此外,攻擊者能夠利用該服務器上傳、下載或刪除文件并執行命令。
5.虛擬網絡計算(VNC)模塊:該工具為攻擊者提供了另一種獲取計算機遠程訪問權限的途徑。
6.FTP捕獲工具:該功能使攻擊者能夠收集大量FTP客戶端的登錄憑證。
安全防護
賽門鐵克已經發布了一款用于檢查Ramnit感染的工具,能夠使用戶從受入侵的計算機上將其清除。下載工具請訪問:http://www.symantec.com/security_response/writeup.jsp?docid=2015-022415-4725-99
京公網安備 11010502049343號