扫一扫
关注微信公众号

赛门铁克:ZeuS新变种不再需要指令服务器
2012-02-24   网界网

赛门铁克的安全研究人员近日称,网络犯罪分子正在使用ZeuS特洛伊木马的一种改进版本,该版本不再需要命令与控制服务器(C&C)接收指令。

  ZeuS僵尸网络在网络犯罪分子圈内非常流行,因为它可以从受感染系统上盗取各类信息、文档和注册证书。多年来,ZeuS已成为大多数针对网上银行系统诈骗行为的首选武器。

  这个特洛伊木马的源代码已于去年在互联网上秘密发布,并允许第三方进行改进。

  2011年11月,安全研究人员发现,一个经过大量修改的ZeuS变种能够以P2P方式,从一台缺少抵抗力的主机到另一台主机进行接力式攻击。

  该特洛伊版本仍可连接C&C服务器,释放被盗信息,接收指令,只有当服务器宕机时,才会使用P2P系统作为后备机制。

  赛门铁克最近又探测到一个新的变种,则完全不再需要C&C服务器。“僵尸网络中的每个对等端都可以当做C&C服务器来使用,虽然这些端点并非真正的C&C服务器,”赛门铁克研究人员Andrea Lelli在周三撰写的博客中称。

  “僵尸网络如今能够从其他僵尸网络下载指令、配置文件并执行。每台受感染的电脑都可以为其他僵尸电脑提供数据,”她说。

  为了实现这种功能,这一ZeuS变种的创建者们已将nginx Web服务器变成了特洛伊木马,可以让每台受感染的电脑通过HTTP协议接收和发送数据。

  这就让ZeuS僵尸网络变得更为灵活多变,因为它不再有安全研究人员所针对的单点故障,还能防止僵尸跟踪系统如ZeusTracker干扰他们的攻击。

  “ZeusTracker在跟踪和发布全球Zeus C&C服务器的IP块地址列表方面取得了相当可观的成就,”Lelli说,但是Zeus僵尸将其功能切换到P2P上就意味着ZeusTracker不再可能发布精确的Zeus C&C IP块列表了。

  很多机构都是靠在网络层禁止Zeus流量来防止恶意软件盗取敏感数据的。监控C&C IP地址还能帮助企业识别自己网络中受感染的电脑。

  赛门铁克研究人员已经检测到了这款新的ZeuS变种在分发伪装成防病毒程序的恶意软件。不过他们尚未搞清楚它是如何在没有C&C服务器的情况下,将捕获的信息返回给攻击者的。

  “分析还将继续,我们正在努力挖掘这部分秘密,以便搞清楚新版ZeuS的整个生态链,”Lelli称。

热词搜索:

上一篇:利用Office漏洞的全新目标式攻击正在扩散
下一篇:Android系统漏洞致使其智能机受外界控制

分享到: 收藏