通过对最新发现的Kneber僵尸网络的各种信息的汇总,我们发现,这种新型僵尸可在同一主机上利用不同的恶意软件触发多重感染,而恶意软件之间的这样一种复杂的合作机制给了所有恶意软件更高的存活率。
当Kneber僵尸网络在周四被发现时,其规模已相当庞大——大约已感染了2400多家企业的7.5万台电脑。但是据发现了Kneber的NetWitness的研究部门高级咨询师Alex Cox说,Kneber如何与其他恶意软件网络相互作用从而产生一种共生关系,能够更有效地抵御对它们的清除,这才是安全行业更应该予以关注的。
Kneber是利用了一套功能完善的工具包创建的,这套能够汇总各类僵尸网络的工具包在网络上已流行了多年,被称作ZeuS。Kneber只不过是利用了ZeuS工具包构建的僵尸网络之一而已,不过由于Cox已经从指挥与控制服务器上捕获了75GB的注册数据,所以他能够对ZeuS所控制的电脑的特征进行详细地分析。
他发现,在被感染的7.5万台电脑中,一多半的僵尸上还发现了其他的恶意软件,这些恶意软件使用了一种不同的指挥与控制结构。如果一个僵尸网络被禁用,其他未被清除的僵尸网络则可以再次将其构建起来。
“至少,两个带有不同的指挥与控制结构的独立的僵尸网络家族能在其中一个被安全防御工作所清除时提供容错功能和恢复功能,”Cox在其分析Kneber僵尸网络的文章中称。
在这一案例中,构成Kneber僵尸网络中的一多半电脑同时被ZeuS(窃取用户数据)和Waledac(使用P2P机制传播的垃圾邮件恶意软件)所感染。Cox虽然尚不能肯定这两种僵尸网络是如何协同工作的,但是有一个有趣的可能性是存在的:如果ZeuS的指挥与控制架构在某个点上被清除,那么ZeuS僵尸网络的所有者便可联络Waledac僵尸网络的人,支付一定费用让其推送一个ZeuS的升级包,从而让ZeuS僵尸重新联机,并向一台新的控制服务器报告。
此外,一个独立的组织也可以同时运行ZeuS和Waledac僵尸网络,这样便可自己推送升级包。“从灾难恢复的角度看,这么做也是合理的,”Cox说。
Kneber服务器的日志包含了很多个人登录各类网站如Facebook和Yahoo等的密码。它的设计目的还在于窃取个人的在线金融账号,例如花旗银行、富国银行、支付宝、城市银行和汇丰银行等网站的登录密码,Cox的Kneber报告称。
1月26日,Cox在NetWitness的一家客户的网站上发现了Kneber。他发现了一台被ZeuS所感染的电脑,当时这台电脑正在下载其他可执行的恶意软件。然后他跟踪这一流量到了德国的一台ZeuS智慧与控制服务器,在这里,他捕获了该服务器将近一个月的日志数据。
这个僵尸网络因hilarykneber@yahoo.com邮箱而得名,该邮箱的注册人就是在这个原始域名上将僵尸网络的各个组成部分汇集起来的。该注册人还一直在寻找包括PDF和Flash漏洞以及木马安装在内的其他恶意软件的协助。
同一个注册人还登录了多个寻找资金骡子(非法利用其银行账号转运金钱的人)的Web网站。
Kneber僵尸网络从2009年3月25日以来就一直在活跃,据NetWitness称,大部分最活跃的站点在中国,约有17%的站点在美国。
Cox还通过链接发现了Kneber针对美国一些政府机构发动过钓鱼攻击,例如从美国国家安全局发出的一些邮件会要求接收人点击可下载恶意软件的链接。
Cox认为Kneber僵尸网络最大的收获就是社交网站的用户名和密码。这些数据可用来进入社交网站,给受感染的网站粘贴恶意链接。社交网站上的好友们更愿意相信这些链接,因为他们认为这些链接是他们所信任的人粘贴的。
社交网站的账号还可用于进一步开采可渗入用户在线金融账号的个人数据。比如说,如果某人社交网站的账号用的是其母亲未出嫁之前的名字,那么这个账号也有可能会被用来重置银行账号的密码,从而可能被攻击者利用来窃取和转移金钱。(波波编译)