记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Stantinko:一个潜藏了5+年的大型僵尸网络被发现

2017-07-24 17:25

概述

2017年年初,ESET研究人员开始对一个针对俄罗斯和乌克兰的复杂的网络攻击展开调查。研究人员将这一僵尸网络称为“Stantinko”,它之所以引人注目是由于显著的感染率和复杂性。Stantinko的问题相当棘手,调查人员慢慢地把相关碎片组合在一起,它的整体轮廓才开始显现出来,在其大规模的广告活动中,约有500,000个机器受到感染。

使用了大量的代码加密,在逃避反病毒软件检测的成效卓著,Stantinko的幕后操纵者被发现从2012年就开始活跃了,潜藏时间至少有五年之久,他们的行动很少引起关注。

骗子活动主要目标是俄罗斯和乌克兰地区搜索盗版软件的用户,他们将恶意软件伪装成种子文件诱骗用户下载。研究人员发现,攻击者使用一个名为“FileTour”的应用程序,该应用程序能够在受害者的机器上安装各种应用程序,同时在后台运行Stantinko。

Stantinko幕后操纵者控制者一个庞大的僵尸网络,他们通过安装恶意的浏览器扩展来执行广告注入和点击欺诈,来获得经济收益。然而,更为可怕的是,他们安装的恶意的windows服务能够在受害者主机上执行任何操作,研究人员观察到他们被用来发送一个全功能的后门程序,使得僵尸机可以进行大规模的Google搜索,使用一个暴力破解工具对Joomla 和 WordPress管理员面板进行攻击,试图入侵也可能转售这些存在漏洞的系统。

图1: Stantinko威胁全景分析图

主要特征

Stantinko在绕过杀毒软件的检测和阻止逆向工程方面成效显著,为了做到这些,软件制作者从多个方面做了全面的分析和努力,恶意软件包含两个组件:一个加载程序和一个加密组件。恶意代码隐藏在驻留在磁盘上或在Windows注册表中的加密组件中,通过一个良性的可执行文件加载和解密。解密此代码的密钥是在每次感染的基础之上生成的。有些组件使用僵尸程序标识符,其他组件使用受害者PC硬盘上的磁盘卷的序列号。由于驻留在磁盘上的这些原始程序在执行任务之前不会暴露恶意行为,想要基于非加密组件进行准确的检测是极其困难的。

此外,Stantinko还具有强大的恢复机制,在成功的入侵系统后,会向受害者的机器上安装两个恶意的windows服务,这些服务随系统启动而开启。如果系统中有一个服务被删除了,另一个服务就会重新安装它。因此,想要成功卸载此恶意软件的话,必须同时删除这两个服务,否则,C&C 会下发一个新的恶意软件,这个新版本的恶意软件能够绕过检测的或包含了新的配置。

Stantinko的主要功能是安装恶意的浏览器扩展:Safe Surfing 和 Teddy Protection。研究人员在分析过程中发现,这两个扩展都可以在 Chrome Web Store上搜索到。乍一看,它们像是合法的浏览器扩展,描述里提到它们能够阻止恶意网站和广告。然后,安装Stantinko后,这两个插件会接收一个不同的配置,配置中包含了执行点击欺诈和注入的规则。

图2: Teddy Protection在Chrome Web Store上的截图

图3:Safe Surfing在Chrome Web Store上的截图

Stantinko是一个模块化的后门程序,它的组件中嵌入了一个加载程序,允许他们直接在内存中执行C&C传送过来的任何的windows可执行文件。此功能可以看作是一个非常灵活的插件系统,允许操作员在受感染的系统上执行任何操作,下表1中描述了已知的Stantinko插件的相关信息。

盈利方式

尽管Stantinko使用的很多在APT活动中常用的攻击方法,但是Stantinko开发者的最终目标是为了赚钱。Stantinko主要的盈利方式有三个:

其一,是点击欺诈。目前,点击欺诈是网络犯罪生态系统中的主要收入来源之一,根据White Ops公司和美国广告商协会的研究估算,2017年点击欺诈的全球成本将达到65亿美元左右。

前文中我们提到过,Stantinko会安装两个浏览器插件(The Safe Surfing 和Teddy Protection),它们的目的就是为了注入广告或重定向用户点击的搜索链接。广告商们会为Stantinko提供的流量付费。

图4:点击欺诈重定向的过程示意图

研究人员发现Stantinko与广告商的关系非常紧密,在某些情况下(如上图4中的例子),用户通过Stantinko掌控的广告网络后,直接被重定向到广告商的站点。另外,传统的点击劫持恶意软件依赖于一系列的几个广告网络的重定向,相互清洗自己他们的恶意流量。Stantinko的操纵者不仅能够开发出非常隐蔽的恶意软件,也会滥用传统广告服务的经济模式以逃避检测。

其二,犯罪分子会发起一系列的蛮力攻击,通过尝试数以万计的不同凭据来猜测密码,试图以这种方式接管Joomla和 WordPress站点的管理员账户。一旦成功,就可以在地下市场转售,也可以用于重定向站点访问者到一个其他的包括漏洞利用工具或恶意内容的站点。

其三,是社交网络诈骗。通过点赞等方式来获得丰厚的利润,例如来Facebook上1000个“喜欢”的价格大约是15美元,即使这些点赞是由虚假的账户(由僵尸网络控制)生成的。Stantinko运营者开发了一个能够于Facebook进行交互的插件,除了点赞之外,还能保存包括创建账号、添加好友在内的操作,这个插件依赖一个在线的反验证码服务(如下图5所示)来绕过Facebook的验证码检测功能。Stantinko僵尸网络的庞大规模也是一个很大的优势,它允许运营商利用所有的僵尸机执行分布式的查询操作,因此,Facebook 很难发现这种欺诈行为。

图5:Stantinko僵尸网络使用的在线反验证码服务(快照)

结论

Stantinko僵尸网络主要致力于广告相关的欺诈活动,使用了一些先进的技术,比如代码加密、在windows注册表中存储代码等,在过去五年多的时间里一直处于隐蔽状态,大约500,000个机器被感染。

两个专门用于广告注入和点击劫持的浏览器扩展可以在Chrome Web Store上被发布。

尽管对用户的影响并不明显,不太占用CPU。但是Stantinko依然是一个严重的威胁,它为网络犯罪份子的欺诈行为带来了丰厚的金钱收入。此外,Stantinko还存在一个功能齐全的后门程序,允许恶意软件操作人员全面监视和控制所有的受感染主机。

传送门

想要了解更详细的信息,可以查看关于Stantinko的分析报告原文:

https://www.welivesecurity.com/wp-content/uploads/2017/07/Stantinko.pdf


知识来源: www.mottoin.com/104290.html

阅读:139680 | 评论:0 | 标签:安全报告

想收藏或者和大家分享这篇好文章→复制链接地址

“Stantinko:一个潜藏了5+年的大型僵尸网络被发现”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云

本页关键词