當(dāng)前位置：安全 → 行業(yè)動(dòng)態(tài) → 正文

不同國(guó)家的網(wǎng)絡(luò)罪犯如何通過(guò)合作增強(qiáng)攻擊能力

責(zé)任編輯：editor005 作者：曉憶 |來(lái)源：企業(yè)網(wǎng)D1Net 2016-04-07 14:21:08 本文摘自：51CTO

巴西和俄羅斯的網(wǎng)絡(luò)犯罪地下市場(chǎng)是安全研究人員接觸最多的地下黑市，因?yàn)檫@些地下市場(chǎng)相對(duì)來(lái)說(shuō)比較開放，而且活躍程度高，同時(shí)有大量在線論壇供網(wǎng)絡(luò)罪犯進(jìn)行交流。歷史上，這兩個(gè)地下市場(chǎng)各自獨(dú)立發(fā)展，都創(chuàng)造出了適用于本區(qū)域情況的網(wǎng)絡(luò)攻擊技術(shù)（例如巴西的“Boleto”惡意軟件，或者是俄羅斯的針對(duì)手機(jī)銀行的惡意軟件）。但是，卡巴斯基實(shí)驗(yàn)室研究人員經(jīng)過(guò)調(diào)查發(fā)現(xiàn)，巴西和俄羅斯的網(wǎng)絡(luò)罪犯在最近幾年已經(jīng)建立起一套合作系統(tǒng)。巴西的網(wǎng)絡(luò)罪犯會(huì)在俄羅斯地下論壇尋找惡意軟件樣本，購(gòu)買最新的犯罪軟件和ATM/PoS惡意軟件，或者提供自己的服務(wù)。這種交易是雙向的，通過(guò)這種合作，加快了惡意軟件的演化和發(fā)展。

我們?cè)谝粋€(gè)俄羅斯網(wǎng)絡(luò)罪犯經(jīng)常使用的地下論壇上發(fā)現(xiàn)了合作的跡象。在其中的一個(gè)帖子中，一個(gè)用戶名為Doisti74的用戶表示想要購(gòu)買巴西“loads”，這是網(wǎng)絡(luò)罪犯之間使用的一種黑話，意識(shí)是在位于巴西的計(jì)算機(jī)用戶的系統(tǒng)上成功安裝惡意軟件。

卡巴斯基實(shí)驗(yàn)室的研究人員注意到在巴西的網(wǎng)絡(luò)犯罪地下論壇中同樣有一個(gè)使用這一名稱的用戶，而且該用戶在這些論壇上相當(dāng)活躍，并最終證實(shí)該用戶正在大肆傳播用戶感染巴西用戶的勒索軟件。

另外一個(gè)案例則顯示了網(wǎng)絡(luò)罪犯是如何共享惡意基礎(chǔ)設(shè)施的。在一種俄羅斯的網(wǎng)銀木馬家族（Crishi）開始在烏克蘭的反濫用托管服務(wù)中使用一種算法生成域名幾個(gè)月后，巴西的Boleto惡意軟件幕后網(wǎng)絡(luò)罪犯也開始使用這種基礎(chǔ)設(shè)施。如果Boleto幕后的網(wǎng)絡(luò)罪犯和域名生成算法幕后的網(wǎng)絡(luò)罪犯之間沒(méi)有合作的話，研究人員和執(zhí)法機(jī)關(guān)就不可能對(duì)網(wǎng)絡(luò)罪犯所使用的命令和服務(wù)器進(jìn)行定位，或者將非常難以查找。

網(wǎng)絡(luò)罪犯之間還會(huì)互相借鑒惡意技術(shù)。例如，至少在2011年之前，巴西的網(wǎng)絡(luò)罪犯一直在使用PAC技術(shù)。這是一種過(guò)時(shí)的技術(shù)，但是有些瀏覽器仍然支持這一技術(shù)，將受害者重定向到假冒的銀行網(wǎng)頁(yè)。之后過(guò)了不到半年，卡巴斯基實(shí)驗(yàn)室研究人員在Capper惡意軟件檢測(cè)到同一技術(shù)。而這種Capper惡意軟件是一種網(wǎng)銀木馬，攻擊目標(biāo)是俄羅斯的銀行，起編寫者很可能也是俄羅斯的網(wǎng)絡(luò)罪犯。

上述這些案例只是卡巴斯基實(shí)驗(yàn)室研究人員在過(guò)去發(fā)現(xiàn)的巴西和俄羅斯網(wǎng)絡(luò)罪犯合作證據(jù)中的一小部分。

卡巴斯基實(shí)驗(yàn)室安全研究院Thiago Marques說(shuō): “幾年前，巴西的網(wǎng)銀惡意軟件非常簡(jiǎn)單，而且很容易檢測(cè)。但是隨著時(shí)間的推移，這些惡意軟件的編寫者采取了多樣的技術(shù)來(lái)躲避檢測(cè)，其中包括代碼混淆技術(shù)、rootkit和bootkit功能等，使得這些惡意軟件變得更為復(fù)雜，更加難以應(yīng)對(duì)。這些進(jìn)步都得利于俄羅斯網(wǎng)絡(luò)罪犯所開發(fā)的惡意技術(shù)。而且他們之間的合作是雙向的.”

“卡巴斯基實(shí)驗(yàn)室在追蹤和對(duì)抗俄羅斯和拉丁美洲地下網(wǎng)絡(luò)犯罪組織方面的經(jīng)驗(yàn)是不可比擬的。我們的安全專家能夠在某種威脅趨勢(shì)廣泛傳播之前就將其檢測(cè)出來(lái)，我們目前正在利用這種能力對(duì)抗全球方位的區(qū)域威脅。我們認(rèn)為，要打擊這類國(guó)際性威脅，最好的手段是對(duì)這些攻擊行為進(jìn)行國(guó)際調(diào)查。正如網(wǎng)絡(luò)犯罪是無(wú)國(guó)家一樣，我們所進(jìn)行的調(diào)查應(yīng)當(dāng)也不受國(guó)界的限制。”

關(guān)鍵字：網(wǎng)絡(luò)罪犯惡意軟件混淆技術(shù)