文章开头,先回看一件事。
2021 年 12 月 7 日,谷歌宣布摧毁了一个叫做 Glupteba 的僵尸网络,并起诉了两名俄罗斯男子。
这两人被认为是 Glupteba 僵尸网络的创建和运营者,并同步运营着为该僵尸网络做广告的在线网站。
Glupteba 僵尸网络开始活跃于 2011 年,并逐渐发展成由全球超 100 万台 Windows PC 设备组成的庞大网络,成为巨大的恶意软件威胁。
而就在同一天,成立 14 年的匿名服务代理 AWM Proxy 突然下线。
最近,安全专家发现,AWM Proxy 曾向犯罪分子出租被黑客入侵的个人电脑,它与僵尸网络 Glupteba 之间有着某种联系。
2011年,AWM 代理租赁访问受感染个人电脑的店面
而 AWM,恐怕才是僵尸网络的七寸所在。
AWM Proxy 于 2008 年 3 月推出,2011 年,Kaspersky Lab 的研究人员发现,几乎所有 AWM 出租的黑客系统都已经被 TDSS (又名 TdL-4 和 Alureon) 入侵。
TDSS 是一个隐秘的“ rootkit”,而 rootkit 也是业内公认最难检测的攻击隐藏手段。
TDSS 安装在受感染的个人电脑深处,甚至在最为基础的 Windows 操作系统启动之前,就能完成加载。
2011 年 3 月,ESET 的安全研究人员发现,TDSS 被用于部署 Glupteba。
Glupteba 是另一个 rootkit,它能够窃取密码及其他访问凭证,禁用安全软件,并试图破坏受害者网络上的其他设备 (如互联网路由器和媒体存储服务器) ,且用于转发垃圾邮件或其他恶意流量。
波兰计算机应急响应小组 (CERT Orange Polksa) 的一份报告发现,到目前为止,Glupteba 是 2021 年最大的恶意软件威胁。
与其前身 TDSS 一样,Glupteba 主要通过“按安装付费” (pay-per-install) 或 PPI 网络,以及通过从流量分配系统 (tDS) 购买的流量进行分发。
按安装支付网络试图将已经接触到大量被黑客入侵的个人电脑的网络罪犯与其他寻求更广泛传播其恶意软件的罪犯匹配起来。
在一个典型的 PPI 网络中,客户会将他们的恶意软件 (例如垃圾邮件机器人或盗取密码的木马) 提交给该服务,而该服务会根据所需受害者的地理位置,收取每千次成功安装的费用。
PPI 附属机构获得收入的最常见方式之一,是秘密地将 PPI 网络的安装程序与盗版软件捆绑在一起,这些软件可以通过网络或文件共享网络广泛下载。
一个分布在 Glupteba 的破解软件下载网站的例子。
过去 10 年,Glupteba 和 AWM Proxy 都实现了大幅增长。
2011 年,KrebsOnSecurity 首次报道 AWM Proxy 时,该服务销售的,是分布在几十个国家、大约 24,000 台受感染的个人电脑访问权限。
10 年后,AWM Proxy 在任何一天提供的被黑系统数量,都是这个数字的10倍,而 Glupteba 已经在全球范围内增长到超过 100 万台被感染的设备。
此外,有充分的证据表明,Glupteba 可能催生了梅里斯 (Meris) 。
梅里斯是一个庞大的僵尸网络,由被黑客入侵的物联网 (IoT) 设备组成,2021 年 9 月浮出水面,并对互联网有史以来规模最大、破坏性最强的分布式拒绝服务 (DDoS) 攻击负责。
但在 2021 年 12 月 7 日,谷歌宣布已经采取技术措施拆除 Glupteba 僵尸网络,并对两名俄罗斯男子提起民事诉讼,而 AWM Proxy 的网上店铺也在同一天消失了。
AWM Proxy 迅速提醒其客户,该服务已转移到一个新的域名,所有客户余额、密码和购买历史,都已无缝移植到新址。
然而,随后针对 AWM Proxy 域名和其他基础设施的攻击,使得网站服务处于瘫痪状态,此后,AWM Proxy 开始频繁切换域名。
本月早些时候,美国、德国、荷兰和英国拆除了一个叫做“RSOCKS”的僵尸网络。
这是一个自 2014 年以来,一直都在运行的竞争性代理服务。
安全公司 KrebsOnSecurity 已经确认,RSOCKS 的所有者是一名 35 岁的俄罗斯人,他来自鄂木斯克,经营着全球最大的垃圾邮件发送者论坛。
2016年左右 RSOCKS 公司的员工
据追踪犯罪代理服务的初创公司 Spur.us 联合创始人莱利·基尔默(Riley Kilmer) 所说,在谷歌针对 Glupteba 发动法律偷袭和技术攻击之后,RSOCKS 也同样被禁用。
基尔默表示,“RSOCKS 网站给出了每个订阅包中代理服务器的估计数量,到 12 月 7 日,这个数字降到了零。”
“目前还不清楚这是否意味着这些服务是由同一个人操作的,或者他们只是使用相同的来源 (例如 PPI 程序),来生成新的恶意软件安装。”
基尔默说,每次他的公司试图确定有多少系统 RSOCKS 出售,就会发现,每个互联网地址出售的 RSOCKS,也出现在 AWM 代理的网络。
此外,两个服务用来跟踪受感染系统的应用程序编程接口 (API),实际上是相同的,这再次表明了两者之间强有力的协作。
基尔默称,“我们从 RSOCKS 那里得到的 IP,百分之百是我们已经在 AWM 中识别出来的,当你访问一个单独的 IP 时,他们给你的 IP 端口组合与来自 AWM 的相同”。
2011 年,安全公司 KrebsOnsecurity 发布了一份调查报告,确定了 AWM 代理的其中一个创始人,但如今,基尔默的发现,促使 KrebsOnsecurity 重新审视这个庞大网络犯罪企业的起源,以确定是否还有其他线索显示 RSOCKS、 AWM 代理和 Glupteba 之间存在更具体的联系。
谷歌之所以盯上 Glupteba,部分原因在于其所有者利用僵尸网络,转移和窃取巨额在线广告收入。
但有点讽刺的是,将所有这些操作联系起来的关键证据,始于 2008 年原 AWM Proxy (UA-3816536) HTML 的代码中,包含的谷歌分析 (Google Analytics) 代码。
这些年来,这些分析代码也出现在其他一些网站上,包括现已不复存在的著名俄罗斯域名注册商 Domenadom。
安全公司 KrebsOnSecurity 在对电子邮件和域名进行分析后,事情开始变得明朗起来,
调查发现,俄罗斯域名注册商 Domenadom 的注册文件显示,2015 年,该公司网站注册在两名男子名下,其中一人名叫 Dmitry Sergeevich Starovikov。
而他,正式谷歌起诉的 Glupteba 僵尸网络两个运营商之一:
谷歌对 Glupteba 僵尸网络运营商提起诉讼的首页
尽管谷歌称摧毁了僵尸网络 Glupteba,但 AWM 仍然活的好好的,虽然是通过频繁切换域名的方式。
AWM Proxy 表示,在过去的 24 小时内,它的恶意软件已经在全球大约 17.5 万个系统上运行,其中大约 6.5 万个系统目前在线。
AWM 代理
最近,RSOCKS 的管理员提醒客户,服务和未用余额将很快迁移到一个新的位置。
在这次打击僵尸网络中,谷歌看似摧毁了 Glupteba,还起诉了两名嫌疑人,但事实上,这就像是打蟑螂,你以为打死了地板上那只就好了,但其实,地板之下藏着无穷无尽的后起之秀。
参考资料:
1、Disrupting the Glupteba operation
2、Awmproxy Review 2022 Cheapest Proxies With 99%+ Network Uptime
3、The Link Between AWM Proxy & the Glupteba Botnet
4、https://any.run/malware-trends/glupteba
文 | 木子Yanni
嗨,这里是浅黑科技,在未来面前,我们都是孩子。
想看更多科技故事,欢迎戳→微信公众号:浅黑科技。
