昨日(2017-06-12)国家互联网应急中心发布了《关于“暗云”木马程序有关情况通报》。可访问:https://d.cert.org.cn检测你所在IP是否感染过此木马。
1. 先说说“暗云”是什么:
a) “暗云Ⅲ”是一款木马程序,近期正在互联网上大量传播。根据CNCERT监测发现,我国境内已有大量用户感染,对我国互联网安全构成一定的威胁。
b) “暗云”系列木马程序通过一系列复杂技术潜伏于用户电脑中,具有隐蔽性较高、软硬件全面兼容、传播性较强、难以清除等特点,且最新的变种“暗云Ⅲ”木马程序可在每次用户开机时从云端服务器下载并更新起功能模块,可灵活变换攻击行为。
c) 另外分析发现,“暗云”系列木马程序已具备了流量牟利、发动分布式拒绝服务攻击(以下简称“DDoS攻击”)等能力,具有互联网黑产盈利特性。
2. 什么是僵尸网络
僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。
3. 僵尸网络的一般传播过程
僵尸网络的工作过程包括传播、加入和控制三个阶段。
一个僵尸网络首先需要的是具有一定规模的被控计算机,而这个规模是逐渐地随着采用某种或某几种传播手段的bot程序的扩散而形成的,在这个传播过程中有如下几种手段:
(1)主动攻击漏洞。其原理是通过攻击系统所存在的漏洞获得访问权,并在Shellcode 执行bot程序注入代码,将被攻击系统感染成为僵尸主机。属于此类的最基本的感染途径是攻击者手动地利用一系列黑客工具和脚本进行攻击,获得权限后下载bot程序执行。攻击者还会将僵尸程序和蠕虫技术进行结合,从而使bot程序能够进行自动传播,著名的bot样本AgoBot,就是实现了将bot程序的自动传播。
(2)邮件病毒。bot程序还会通过发送大量的邮件病毒传播自身,通常表现为在邮件附件中携带僵尸程序以及在邮件内容中包含下载执行bot程序的链接,并通过一系列社会工程学的技巧诱使接收者执行附件或点击链接,或是通过利用邮件客户端的漏洞自动执行,从而使得接收者主机被感染成为僵尸主机。
(3)即时通信软件。利用即时通信软件向好友列表中的好友发送执行僵尸程序的链接,并通过社会工程学技巧诱骗其点击,从而进行感染,如2005年年初爆发的MSN性感鸡(Worm.MSNLoveme)采用的就是这种方式。
(4)恶意网站脚本。攻击者在提供Web服务的网站中在HTML页面上绑定恶意的脚本,当访问者访问这些网站时就会执行恶意脚本,使得bot程序下载到主机上,并被自动执行。
(5)特洛伊木马。伪装成有用的软件,在网站、FTP服务器、P2P 网络中提供,诱骗用户下载并执行。
4. 僵尸网络带来的带来危害
僵尸网络构成了一个攻击平台,利用这个平台可以有效地发起各种各样的攻击行为,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动。下面是已经发现的利用僵尸网络发动的攻击行为。随着将来出现各种新的攻击类型,僵尸网络还可能被用来发起新的未知攻击。
a)拒绝服务攻击
使用僵尸网络发动DDos攻击是当前最主要的威胁之一,攻击者可以向自己控制的所有僵尸主机发送指令,让它们在特定的时间同时开始连续访问特定的网络目标,从而达到DDos的目的。由于僵尸网络可以形成庞大规模,而且利用其进行DDos攻击可以做到更好地同步,所以在发布控制指令时,能够使得DDos的危害更大,防范更难。
b)发送垃圾邮件
一些僵尸主机会设立sockv4、v5 代理,这样就可以利用僵尸网络发送大量的垃圾邮件,而且发送者可以很好地隐藏自身的IP信息。
c)窃取秘密
僵尸网络的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密,例如个人帐号、机密数据等。同时bot程序能够使用sniffer(嗅探工具)观测感兴趣的网络数据,从而获得网络流量中的秘密。
d)滥用资源
攻击者利用僵尸网络从事各种需要耗费网络资源的活动,从而使用户的网络性能受到影响,甚至带来经济损失。例如:种植广告软件,点击指定的网站;利用僵尸主机的资源存储大型数据和违法数据等,利用僵尸主机搭建假冒的银行网站从事网络钓鱼的非法活动。
可以看出,僵尸网络无论是对整个网络还是对用户自身,都造成了比较严重的危害,我们要采取有效的方法减少僵尸网络的危害。
e)僵尸网络挖矿
网络安全商fortiguard labs的网络安全研究报告指出,虚拟货币的僵尸挖矿ZeroAccess已经成为全球网络当下主要威胁。ZeroAccess的主要攻击手段是click fraud和virtual mining,通过控制大量僵尸主机进行挖矿活动,近期由于比特币等虚拟货币的价值飙升,ZeroAccess的获利可能出乎想象。
5. “暗云Ⅲ”木马程序感染情况
a)于2015年爆发的第一代“暗云”木马就“来势汹汹”,用户感染后即使重装、格式化硬盘也无法清除;并且此病毒还兼容X86、X64两种版本的XP、Win7等操作系统,影响范围十分广泛,曾有数以百万的计算机遭受感染。
b)自2015年初被捕获后,在过去两年间里该木马不断更新迭代,持续对抗杀毒软件的查杀,变种接连而至。今年4月再次发现了暗云系列木马。但这次它发生了较大改变,在隐蔽性、兼容性以及对抗安全软件的能力上相比“暗云Ⅱ”均进一步提升,被命名为“暗云Ⅲ”。
c)CNCERT持续对“暗云Ⅲ”木马程序进行监测,截止6月12日,累计发现全球感染该木马程序的主机超过162万台,其中我国境内主机占比高达99.9%,广东、河南、山东等省感染主机数量较多。同时,CNCERT对木马程序控制端IP地址进行分析发现,“暗云Ⅲ”木马程序控制端IP地址10个,控制端IP地址均位于境外,且单个IP地址控制境内主机数量规模均超过60万台。
d)根据监测结果可知,目前“暗云Ⅲ”木马程序控制的主机已经组成了一个超大规模的跨境僵尸网络,黑客不仅可以窃取我国百万计网民的个人隐私信息,而且一旦利用该僵尸网络发起DDoS攻击将对我国互联网稳定运行造成严重影响。
6. 防范措施建议
根据“暗云”木马程序的传播特性,CNCERT建议用户近期采取积极的安全防范措施:
1、不要选择安装捆绑在下载器中的软件,不要运行来源不明或被安全软件报警的程序,不要下载运行游戏外挂、私服登录器等软件;
2、定期在不同的存储介质上备份信息系统业务和个人数据。
3、下载安全腾讯、360、安天等厂商发布的腾讯电脑管家、360系统急救箱、安天智甲等工具进行“暗云”木马程序检测和查杀;
KingThomas
主播现在估计太忙,讲的真好
修文_j9
非常好
俯下身吻你_yi
讲的好