谷歌在周二表示,已经捣毁了名为 Glupteba 的大型模块化僵尸网络,该僵尸网络感染了全球超过100万台 Windows 计算机,并将其C2命令和控制服务器的地址存储在比特币的区块链上,以实现随时切换C2服务器的地址。
在过去的一年中,谷歌威胁分析团队和网络犯罪调查团队合作,检测并销毁了大约 6300 万份分发恶意软件的谷歌文档,以及 1183 个谷歌账户、908 个云项目、和 870 个与其分发相关的 Google Ads 帐户。并和网络托管服务商例如CloudFlare合作,用户访问恶意域名解析时,CloudFlare将先向用户展示警告页面,一次拆穿恶意软件的威胁。
根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,Glupteba 会窃取用户凭据和 cookie,在受感染主机上挖掘加密货币,部署和运行针对 Windows 系统和物联网设备的代理组件,以便进行长期的控制利用。
模块化僵尸网络主要通过各种第三方软件和在线电影流媒体网站传播,伪装成免费软件或 YouTube 视频,安装后利用其对设备的非法访问来检索组成僵尸网络的其他组件,下载的模块将采取措施使其不被防病毒解决方案检测到,并执行由攻击者控制的服务器推送的任意命令。Glupteba与其他传统僵尸网络不同,该恶意软件利用比特币区块链来备份存储C2命令和控制服务器地址。
具体来说,该恶意软件不仅依赖于在恶意软件中硬编码或使用域生成算法 ( DGA )获得的预定和可支配域列表,还被编程为在公共比特币区块链中搜索涉及三个钱包地址的交易。攻击者以获取加密的 C2 服务器地址。
谷歌威胁分析团队表示,Glupteba 使用区块链技术作为一种弹性备份机制值得重视,这种做法正在成为网络犯罪组织中越来越普遍的做法,区块链的去中心化特性将使得僵尸网络能够很快从中断中恢复,使得彻底关闭僵尸网络变得更加艰难。
领取专属 10元无门槛券
私享最新 技术干货