近期,賽門(mén)鐵克與其他合作伙伴攜手歐洲刑警組織下屬的歐洲網(wǎng)絡(luò)犯罪中心(EC3)共同連手出擊,一舉破獲了Ramnit僵尸網(wǎng)絡(luò)(賽門(mén)鐵克檢測(cè)為W32.Ramnit.B)所持有的服務(wù)器和其它基礎(chǔ)設(shè)施。該網(wǎng)絡(luò)犯罪團(tuán)體已經(jīng)從事犯罪活動(dòng)超過(guò)五年時(shí)間,在此期間內(nèi)發(fā)展成為一個(gè)大型犯罪集團(tuán),通過(guò)僵尸網(wǎng)絡(luò)總共感染超過(guò)320萬(wàn)臺(tái)計(jì)算機(jī),欺詐了眾多無(wú)辜受害者。在此次合作中,賽門(mén)鐵克提供了重要的全球范圍內(nèi)的威脅數(shù)據(jù)與分析。基于其全球智能網(wǎng)絡(luò)(Global Intelligence Network)以及全天不間斷服務(wù)的(24x7)安全運(yùn)營(yíng)中心,賽門(mén)鐵克擁有全球最完整的實(shí)時(shí)網(wǎng)絡(luò)威脅數(shù)據(jù)資源,在分析、應(yīng)對(duì)網(wǎng)絡(luò)犯罪中發(fā)揮了核心作用。
一旦入侵成功,Ramnit將為犯罪分子提供多種欺詐途徑,使其能夠遠(yuǎn)程訪(fǎng)問(wèn)并控制受感染的計(jì)算機(jī)。它能夠監(jiān)控受害者的網(wǎng)絡(luò)瀏覽進(jìn)程并竊取銀行憑證。此外,它還能夠竊取網(wǎng)站cookie,使犯罪分子冒充受害者并從硬盤(pán)上讀取文件,以及為攻擊者分配遠(yuǎn)程訪(fǎng)問(wèn)該計(jì)算機(jī)的權(quán)限,以便泄露竊取信息或下載其它惡意軟件。
日益加劇的威脅
Ramnit(W32.Ramnit)的初始形態(tài)是蠕蟲(chóng)病毒,首次出現(xiàn)于2010年,激進(jìn)的自繁殖策略使其得到迅速傳播。一旦入侵計(jì)算機(jī),該病毒就會(huì)找出本地硬盤(pán)和移動(dòng)硬盤(pán)上所有的EXE、DLL、HTM和HTML文件,通過(guò)自身副本感染這些文件。
這款?lèi)阂廛浖S著時(shí)間進(jìn)化,其控制者把重點(diǎn)從構(gòu)筑僵尸網(wǎng)絡(luò)轉(zhuǎn)移到利用僵尸網(wǎng)絡(luò)。為了實(shí)現(xiàn)多種感染方法,Ramnit的最新版本(W32.Ramnit.B)已經(jīng)放棄了文件感染套路。它從Zeus Trojan借鑒了幾種不同的模塊(Trojan.Zbot,其源代碼于2011年5月泄露),大幅度提高了網(wǎng)絡(luò)犯罪能力。這一發(fā)展使Ramnit僵尸網(wǎng)絡(luò)轉(zhuǎn)變?yōu)橐粋€(gè)巨大的網(wǎng)絡(luò)犯罪帝國(guó),入侵了高達(dá)35萬(wàn)臺(tái)計(jì)算機(jī),大量竊取了受害人的銀行憑證、密碼、cookie和個(gè)人文件等。
Ramnit特性
現(xiàn)在,Ramnit已經(jīng)成為一款功能全面的網(wǎng)絡(luò)犯罪工具,具有6個(gè)標(biāo)準(zhǔn)模塊,為攻擊者提供了多種入侵途徑。
1. 間諜模塊:作為Ramnit最強(qiáng)大的功能之一,該模塊能夠監(jiān)控受害人的網(wǎng)絡(luò)瀏覽活動(dòng),并檢測(cè)他們所訪(fǎng)問(wèn)特定網(wǎng)頁(yè)的時(shí)間(例如,網(wǎng)絡(luò)銀行網(wǎng)站)。它能夠?qū)⒆陨碇踩胧芎φ叩臑g覽器,并操縱銀行的網(wǎng)站,使其看起來(lái)像是銀行在要求受害人提供額外憑證,例如信用卡詳細(xì)信息等。犯罪分子將利用這些被竊取的數(shù)據(jù)進(jìn)行欺詐。
2. cookie提取工具:該特性將從網(wǎng)絡(luò)瀏覽器中竊取會(huì)話(huà)cookie,并發(fā)送回攻擊者。攻擊者將利用這些cookie使其通過(guò)網(wǎng)站認(rèn)證,進(jìn)而冒充受害者,并劫持網(wǎng)絡(luò)銀行活動(dòng)。
3. 硬盤(pán)掃描工具:該功能能夠掃描計(jì)算機(jī)的硬盤(pán),并從中竊取文件。它的配置可以搜索有可能包含密碼等敏感信息的特定文件夾。
4. 匿名FTP服務(wù)器:通過(guò)連接到此服務(wù)器,該惡意軟件能夠使攻擊者遠(yuǎn)程訪(fǎng)問(wèn)受入侵的計(jì)算機(jī),并瀏覽其中的文件系統(tǒng)。此外,攻擊者能夠利用該服務(wù)器上傳、下載或刪除文件并執(zhí)行命令。
5. 虛擬網(wǎng)絡(luò)計(jì)算(VNC)模塊:該工具為攻擊者提供了另一種獲取計(jì)算機(jī)遠(yuǎn)程訪(fǎng)問(wèn)權(quán)限的途徑。
6. FTP捕獲工具:該功能使攻擊者能夠收集大量FTP客戶(hù)端的登錄憑證。
持久威脅
Ramnit的制造者已經(jīng)合并了多種功能,使其很難從受入侵的計(jì)算機(jī)上被清除。在安裝過(guò)程中,它會(huì)將副本植入計(jì)算機(jī)的內(nèi)存,并將自身寫(xiě)入硬盤(pán)。基于內(nèi)存的副本會(huì)積極地監(jiān)控硬盤(pán),如果檢測(cè)到基于硬盤(pán)的副本已經(jīng)被刪除或隔離,它會(huì)在硬盤(pán)上恢復(fù)一個(gè)新的副本,以保持感染狀態(tài)。
[page]Ramnit的傳播途徑
盡管早期版本的Ramnit依賴(lài)文件感染作為途徑傳播,但當(dāng)今的攻擊者詭計(jì)多端,通過(guò)多種手段入侵受害者的計(jì)算機(jī)。近期Ramnit所使用的主要方法之一是通過(guò)在受入侵的網(wǎng)站和社交媒體頁(yè)面上的托管開(kāi)發(fā)工具包。此外,在公共FTP服務(wù)器上也發(fā)現(xiàn)了被分發(fā)的惡意軟件。另一種可能入侵的途徑是通過(guò)安裝來(lái)自未知來(lái)源的軟件中捆綁的可能不需要的應(yīng)用程序。
受害者所在地區(qū)
Ramnit的受害者遍及世界各地,大多數(shù)國(guó)家都發(fā)現(xiàn)了感染案例。近期受到最大影響的國(guó)家包括印度、印度尼西亞、越南、孟加拉國(guó)、美國(guó)和菲律賓。
圖:Ramnit感染地區(qū)
盡管隨著時(shí)間的推移,受感染的計(jì)算機(jī)數(shù)量正在減少,但Ramnit僵尸網(wǎng)絡(luò)依然非常猖獗。例如,在2014年11月,賽門(mén)鐵克每日平均攔截大約6,700個(gè)新感染案例。與2014年5月的每日8,000例相比,這個(gè)數(shù)字已經(jīng)有所下降。
安全防護(hù)
賽門(mén)鐵克已經(jīng)發(fā)布了一款用于檢查Ramnit感染的工具,能夠使用戶(hù)從受入侵的計(jì)算機(jī)上將其清除。下載工具請(qǐng)?jiān)L問(wèn):http://www.symantec.com/security_response/writeup.jsp?docid=2015-022415-4725-99
賽門(mén)鐵克和諾頓產(chǎn)品具備以下Ramnit檢測(cè)功能:
◆防病毒
◇W32.Ramnit
◇W32.Ramnit.B
◇W32.Ramnit!inf
◇ W32.Ramnit.C!inf
◇W32.Ramnit.D!inf
◇W32.Ramnit!html
◆入侵防御系統(tǒng)
◇System Infected: Ramnit Zbot Web Inject Activity
京公網(wǎng)安備 11010502049343號(hào)