文章開頭,先回看一件事。
2021 年 12 月 7 日,谷歌宣布摧毀了一個叫做 Glupteba 的殭屍網路,並起訴了兩名俄羅斯男子。
這兩人被認為是 Glupteba 殭屍網路的創建和運營者,並同步運營著為該殭屍網路做廣告的在線網站。
Glupteba 殭屍網路開始活躍於 2011 年,並逐漸發展成由全球超 100 萬台 Windows PC 設備組成的龐大網路,成為巨大的惡意軟體威脅。
而就在同一天,成立 14 年的匿名服務代理 AWM Proxy 突然下線。
最近,安全專家發現,AWM Proxy 曾向犯罪分子出租被黑客入侵的個人電腦,它與殭屍網路 Glupteba 之間有著某種聯繫。
2011年,AWM 代理租賃訪問受感染個人電腦的店面
而 AWM,恐怕才是殭屍網路的七寸所在。
AWM Proxy 於 2008 年 3 月推出,2011 年,Kaspersky Lab 的研究人員發現,幾乎所有 AWM 出租的黑客系統都已經被 TDSS (又名 TdL-4 和 Alureon) 入侵。
TDSS 是一個隱秘的「 rootkit」,而 rootkit 也是業內公認最難檢測的攻擊隱藏手段。
TDSS 安裝在受感染的個人電腦深處,甚至在最為基礎的 Windows 操作系統啟動之前,就能完成載入。
2011 年 3 月,ESET 的安全研究人員發現,TDSS 被用於部署 Glupteba。
Glupteba 是另一個 rootkit,它能夠竊取密碼及其他訪問憑證,禁用安全軟體,並試圖破壞受害者網路上的其他設備 (如互聯網路由器和媒體存儲伺服器) ,且用於轉發垃圾郵件或其他惡意流量。
波蘭計算機應急響應小組 (CERT Orange Polksa) 的一份報告發現,到目前為止,Glupteba 是 2021 年最大的惡意軟體威脅。
與其前身 TDSS 一樣,Glupteba 主要通過「按安裝付費」 (pay-per-install) 或 PPI 網路,以及通過從流量分配系統 (tDS) 購買的流量進行分發。
按安裝支付網路試圖將已經接觸到大量被黑客入侵的個人電腦的網路罪犯與其他尋求更廣泛傳播其惡意軟體的罪犯匹配起來。
在一個典型的 PPI 網路中,客戶會將他們的惡意軟體 (例如垃圾郵件機器人或盜取密碼的木馬) 提交給該服務,而該服務會根據所需受害者的地理位置,收取每千次成功安裝的費用。
PPI 附屬機構獲得收入的最常見方式之一,是秘密地將 PPI 網路的安裝程序與盜版軟體捆綁在一起,這些軟體可以通過網路或文件共享網路廣泛下載。
一個分布在 Glupteba 的破解軟體下載網站的例子。
過去 10 年,Glupteba 和 AWM Proxy 都實現了大幅增長。
2011 年,KrebsOnSecurity 首次報道 AWM Proxy 時,該服務銷售的,是分布在幾十個國家、大約 24,000 台受感染的個人電腦訪問許可權。
10 年後,AWM Proxy 在任何一天提供的被黑系統數量,都是這個數字的10倍,而 Glupteba 已經在全球範圍內增長到超過 100 萬台被感染的設備。
此外,有充分的證據表明,Glupteba 可能催生了梅里斯 (Meris) 。
梅里斯是一個龐大的殭屍網路,由被黑客入侵的物聯網 (IoT) 設備組成,2021 年 9 月浮出水面,並對互聯網有史以來規模最大、破壞性最強的分散式拒絕服務 (DDoS) 攻擊負責。
但在 2021 年 12 月 7 日,谷歌宣布已經採取技術措施拆除 Glupteba 殭屍網路,並對兩名俄羅斯男子提起民事訴訟,而 AWM Proxy 的網上店鋪也在同一天消失了。
AWM Proxy 迅速提醒其客戶,該服務已轉移到一個新的域名,所有客戶餘額、密碼和購買歷史,都已無縫移植到新址。
然而,隨後針對 AWM Proxy 域名和其他基礎設施的攻擊,使得網站服務處於癱瘓狀態,此後,AWM Proxy 開始頻繁切換域名。
本月早些時候,美國、德國、荷蘭和英國拆除了一個叫做「RSOCKS」的殭屍網路。
這是一個自 2014 年以來,一直都在運行的競爭性代理服務。
安全公司 KrebsOnSecurity 已經確認,RSOCKS 的所有者是一名 35 歲的俄羅斯人,他來自鄂木斯克,經營著全球最大的垃圾郵件發送者論壇。
2016年左右 RSOCKS 公司的員工
據追蹤犯罪代理服務的初創公司 Spur.us 聯合創始人萊利·基爾默(Riley Kilmer) 所說,在谷歌針對 Glupteba 發動法律偷襲和技術攻擊之後,RSOCKS 也同樣被禁用。
基爾默表示,「RSOCKS 網站給出了每個訂閱包中代理伺服器的估計數量,到 12 月 7 日,這個數字降到了零。」
「目前還不清楚這是否意味著這些服務是由同一個人操作的,或者他們只是使用相同的來源 (例如 PPI 程序),來生成新的惡意軟體安裝。」
基爾默說,每次他的公司試圖確定有多少系統 RSOCKS 出售,就會發現,每個互聯網地址出售的 RSOCKS,也出現在 AWM 代理的網路。
此外,兩個服務用來跟蹤受感染系統的應用程序編程介面 (API),實際上是相同的,這再次表明了兩者之間強有力的協作。
基爾默稱,「我們從 RSOCKS 那裡得到的 IP,百分之百是我們已經在 AWM 中識別出來的,當你訪問一個單獨的 IP 時,他們給你的 IP 埠組合與來自 AWM 的相同」。
2011 年,安全公司 KrebsOnsecurity 發布了一份調查報告,確定了 AWM 代理的其中一個創始人,但如今,基爾默的發現,促使 KrebsOnsecurity 重新審視這個龐大網路犯罪企業的起源,以確定是否還有其他線索顯示 RSOCKS、 AWM 代理和 Glupteba 之間存在更具體的聯繫。
谷歌之所以盯上 Glupteba,部分原因在於其所有者利用殭屍網路,轉移和竊取巨額在線廣告收入。
但有點諷刺的是,將所有這些操作聯繫起來的關鍵證據,始於 2008 年原 AWM Proxy (UA-3816536) HTML 的代碼中,包含的谷歌分析 (Google Analytics) 代碼。
這些年來,這些分析代碼也出現在其他一些網站上,包括現已不復存在的著名俄羅斯域名註冊商 Domenadom。
安全公司 KrebsOnSecurity 在對電子郵件和域名進行分析後,事情開始變得明朗起來,
調查發現,俄羅斯域名註冊商 Domenadom 的註冊文件顯示,2015 年,該公司網站註冊在兩名男子名下,其中一人名叫 Dmitry Sergeevich Starovikov。
而他,正式谷歌起訴的 Glupteba 殭屍網路兩個運營商之一:
谷歌對 Glupteba 殭屍網路運營商提起訴訟的首頁
儘管谷歌稱摧毀了殭屍網路 Glupteba,但 AWM 仍然活的好好的,雖然是通過頻繁切換域名的方式。
AWM Proxy 表示,在過去的 24 小時內,它的惡意軟體已經在全球大約 17.5 萬個系統上運行,其中大約 6.5 萬個系統目前在線。
AWM 代理
最近,RSOCKS 的管理員提醒客戶,服務和未用餘額將很快遷移到一個新的位置。
在這次打擊殭屍網路中,谷歌看似摧毀了 Glupteba,還起訴了兩名嫌疑人,但事實上,這就像是打蟑螂,你以為打死了地板上那隻就好了,但其實,地板之下藏著無窮無盡的後起之秀。
參考資料:
1、Disrupting the Glupteba operation
2、Awmproxy Review 2022 Cheapest Proxies With 99%+ Network Uptime
3、The Link Between AWM Proxy & the Glupteba Botnet
4、https://any.run/malware-trends/glupteba
文 | 木子Yanni
嗨,這裡是淺黑科技,在未來面前,我們都是孩子。
想看更多科技故事,歡迎戳→微信公眾號:淺黑科技。