殭屍網路下載過去一年的發展趨勢
研究人員對殭屍網路的認知僅停留在帶有惡意軟體連結的垃圾郵件和下載其他惡意軟體的木馬,而這些僅僅是殭屍網路常用的一些場景而已。殭屍網路可能是一個勒索軟體,一個銀行木馬,一個挖礦軟體,一個後門……比如今年3月底新發現的Gandcrab變體、6月新發現的Trik殭屍網路、Locky攻擊的頻繁活動以及Necurs(在過去五年中,Necurs殭屍網路已經發展成為全球最大的垃圾郵件傳播組織)的更新迭代。現在,卡巴斯基實驗室每天都會攔截髮送給各種型別惡意軟體和木馬家族的大量檔案下載命令。在本文,我會以卡巴斯基實驗室在2017年下半年和2018年上半年的殭屍網路活動分析結果為例,進行詳細說明。
統計樣本的選擇
統計資料中不包括由木馬下載的更新檔案,因為它們的數量在很大程度上取決於特定惡意軟體的演算法,並對最終的傳播產生影響。本次分析還排除了依賴殭屍網路演算法下載的配置檔案,這些檔案與本文無關。更重要的是,研究人員只考慮了一種檔案,即含有MD5雜湊值的檔案。本文的結果是基於對60000多個不同的C&C命令的分析,這些命令與150個木馬家族有關。
卡巴斯基實驗室還使用了殭屍網路跟蹤技術(Botnet Tracking)跟蹤殭屍網路的活動。殭屍網路跟蹤技術是一種模擬被感染計算機木馬的技術,用於檢索殭屍網路幕後的操作資料。
研究人員所模擬的木馬在2018年上半年下載的惡意檔案總數比2017年下半年下降了14.5%。
下載種類的變化
在分析了木馬下載的檔案後,研究人員確定了下載種類最頻繁的一些殭屍網路。不過,根據分析,比較流行的下載殭屍網路,在數量到達一定峰值後,基本上就保持穩定了。2018年和2017年一樣,njRAT後門佔了很多下載份額。它在所有由木馬下載的檔案中所佔的份額從3.7%增加到5.2%,這意味著每20個木馬下載的檔案中就有1個多是njRAT產生的。這種廣泛的傳播源自於惡意軟體的各種版本迭代和後門使用的設定門檻較低。
通常,殭屍網路被用來傳播加密貨幣挖掘工具。在2018年的上半年,挖礦軟體佔所有下載檔案的4.6%,遠高於2017年下半年的2.9%。
然而,攻擊者對普通貨幣的網路犯罪興趣仍然很高,Neutrino.POS和 Jimmy在前10名中的存在證明了這一點。在2017年下半年的所有案例中,有4.6%的殭屍網路下載了Neutrino.POS。而在2018年,它在整個下載檔案中的份額有所下降,但它的變體Jimmy下載量卻突增,將銀行木馬的份額增加了1.1%。
在2018年上半年,Khalesi排名第三,佔下載檔案的4.9%。但在2017年,Remcos(新型遠控木馬Remcos與今年3月發現),BetaBot,Smoke和熊貓木馬則參與了木馬的下載,而到了2018年,Khalesi只被垃圾郵件木馬lethicb下載了。
另外,Mail PassView出現在2018年上半年的前10,也令人意外,這是一個合法的為各種電子郵件客戶端提供密碼恢復的工具,而通過Remcos後門被傳播後,它可能被用來獲取受害者郵箱的密碼。
還有就是名為Cutwail、lethicet和新更名的Emotet木馬也位於前10名。與與2017年下半年相比,今年由木馬下載的勒索軟體加密工具數量有所增加。儘管勒索軟體程式的使用數量整體在下滑,但殭屍網路運營商仍在繼續向受害者傳播這些軟體。根據研究,2017年的大多數勒索軟體程式都是由Smoke木馬下載的,但在2018年,Nitol下載的數量則最多。在2018年下載量最多的新面孔則是GandCrab勒索軟體,它在2018年被發現,由幾個殭屍網路運營商立即部署和傳播,其中最活躍的則是Trik。
就下載檔案的攻擊能力而言,很大一部分是由銀行木馬和後門組成,以確保最大限度地竊取重要資訊。更重要的是,去年最常見的惡意軟體包括大量的垃圾郵件木馬, 主要是由於上述的 Lethic殭屍網路下載的。
下載惡意檔案種類最多的殭屍網路
在所觀察的樣本中,研究人員發現了最“萬能的”殭屍網路,它下載的惡意檔案種類最多,這種多樣性可能是以下幾個因素造成的結果:
1.不同的殭屍網路由不同的運營商管理,目標也不盡相同;
2.運營商將他們的殭屍網路租賃出去,允許其他人用來傳播惡意軟體;
3.殭屍網路的功本身功能也在變化,例如,Emotet從一個銀行木馬變成了一個垃圾郵件木馬;
2018年和2017年一樣,最萬能的的木馬是Hworm, Smoke和BetaBot(又名Neurevt)。
正如研究人員在上面提到的那樣,貨幣挖掘軟體是非常流行的,這從統計資料也能被證實。儘管被下載的惡意軟體種類繁多,但挖礦軟體最終還是排在了前三名。
後門也很重要,因為它們為網路犯罪分子提供了廣泛的選擇,從儲存螢幕截圖和按鍵再到直接控制目標裝置,其功能無所不在。
最“國際化”的下載殭屍網路
在控制伺服器的地域分佈方面,Njrat後門毫不意外是“最國際化”的下載殭屍網路,其C&C中心分佈在99個國家。之所以分佈這麼廣,是因為Njrat的個人後門配置非常簡單,它允許任何人建立自己的殭屍網路,即使你不懂得軟體開發的知識也不要緊。
接下來是後門DarkComet和NanoCore RAT,它們位列2,3名,在全球近80個國家擁有c&c。儘管NanoCore的創始人目前已經被捕,但他還是成功地出售了他自己開發的RAT木馬的原始碼。目前,它的使用率非常高。
從感染目標的地理位置上看,另一個後門QRAT的傳播範圍最大。在2017年下半年,研究人員在190個國家進行了感染嘗試,今年QRAT又增加了對兩個國家的攻擊,總數達到192個國家。
之所以會有如此廣泛的感染,是由於SaaS(軟體即服務)的出現,或者更確切地說,是MaaS(惡意軟體即服務)的出現。
總結
通過攔截木馬命令,研究人員可以跟蹤惡意軟體的最新變化趨勢,併為使用者提供最大限度的保護。
以下是研究人員通過分析由殭屍網路下載的檔案得出的主要趨勢:
1.隨著網路犯罪分子開始將殭屍網路視為一種新型挖掘加密貨幣的工具,挖礦軟體在下載檔案中的份額正在增加。
2.總的來說,後門還是佔下載的大部分份額,也就是說,殭屍網路運營商希望獲得對受感染裝置的最大可能控制權限。
3.下載的dropper數量也在增加,這表明攻擊是多階段進行的並且複雜性越來越高。
4.在2018上半年年,銀行木馬在殭屍網路所下載的檔案中所佔的份額有所下降。
5.越來越多的殭屍網路是根據客戶的需要定製的,在很多情況下,研究人員也很難確定殭屍網路的幕後開發者是否就是同一個團隊。