Dridex僵尸网络服务器遭劫持,为用户下载免费防病毒软件
本帖最后由 hkwljs 于 2016-2-11 21:44 编辑http://image.3001.net/images/20160206/14547312911025.png
匿名白帽劫持Dridex僵尸网络C&C服务器,将原本用于传播,针对银行业务的木马替换成免费杀毒软件Avira(小红伞)。
Avira (德国防病毒厂商小红伞)表示其安全专家是在几天前发现该情况的,但对于此事也只有初步了解。
Dridex 此前可以说是是最为成功的僵尸网络之一,其給全球用户造成了上千万美元的损失。但在其幕后操纵组织的一个核心成员在塞浦路斯,帕福斯被捕后,该僵尸网络的活跃度便慢慢平息下来。
在此前,我们也可以稍稍了解下Dridex的相关情况,详细可参见:《深入分析擅长“自我保护”的网银木马Dridex》、《FBI、EC3、众安全公司共同击败了Dridex僵尸网络》等
通过欺诈垃圾邮件来进行传播
在这个事件之前,Dridex的正常传播模式是依赖于欺诈垃圾邮件,其中包含着恶意Word 文档。当用户下载并打开该文档之后,用户会被引导开启word宏命令功能 。宏命令允许Word(或其他办公软件如Excel等)执行一系列的自动操作。在这个案例中,恶意Word文件下载打开后,将安装 Dridex,使用户称为僵尸网络的一个节点。一般来说,Dridex通过伪造的web页面,引导用户输入银行相关登陆凭证,如账户、密码等。从Dridex执行方式分析,其对宏命令的依赖程度较高。
DridexC&C服务器遭劫持
从几天前开始,这些Word 宏命令(与外部的 C&C服务器通讯,并引导下载服务器上的木马)开始为用户下载Avira防病毒软件。
从目前的情况来看,应该是有人入侵并劫持了C&C服务器,接着将接收到的下载请求链接到另外一个新的文件:Avira 防病毒软件。对于僵尸网络的C&C服务器遭入侵的情况,其实并不罕见。网络犯罪团伙之间经常通过相互间的攻击,来劫持对方的僵尸网络,从而增强自身恶意软件的传播能力。
在去年10月份,也发生了类似的白帽事件,具体内容可参见《路由器“保护”天使:“恶意软件”Linux.Wifatch》。其中的“主角” Linux.Wifatch“恶意软件”并不以破坏用户路由或窃取信息为目的,其主要的功能是“保护路由不受其他恶意软件感染”,从而提高路由的安全防护能力。
来自Avira的反应
还是不错的哦,顶了 还是不错的哦,顶了 支持中国红客联盟(ihonker.org) 学习学习技术,加油! 感谢楼主的分享~ 还是不错的哦,顶了 支持,看起来不错呢!