據(jù)悉,Glupteba 惡意軟件僵尸網(wǎng)絡(luò)在將近一年前被谷歌中斷后重新活躍起來(lái),感染了全球范圍內(nèi)的設(shè)備��。早在2021年12月�,谷歌設(shè)法對(duì)支持區(qū)塊鏈的僵尸網(wǎng)絡(luò)造成大規(guī)模破壞���,確保法院下令控制僵尸網(wǎng)絡(luò)的基礎(chǔ)設(shè)施,并對(duì)兩家俄羅斯運(yùn)營(yíng)商提起訴訟���。
Nozomi報(bào)告說(shuō)���,區(qū)塊鏈交易�����、TLS 證書(shū)注冊(cè)和逆向工程 Glupteba 樣本顯示了一場(chǎng)新的大規(guī)模 Glupteba 活動(dòng)���,該活動(dòng)于 2022 年 6 月開(kāi)始,目前仍在進(jìn)行中����。
隱藏在區(qū)塊鏈中
Glupteba 是一種支持區(qū)塊鏈的模塊化惡意軟件�,它會(huì)感染 Windows 設(shè)備以挖掘加密貨幣�、竊取用戶憑據(jù)和 cookie����,并在 Windows 系統(tǒng)和物聯(lián)網(wǎng)設(shè)備上部署代理。這些代理后來(lái)作為“住宅代理”出售給其他網(wǎng)絡(luò)犯罪分子��。
該惡意軟件主要通過(guò)按安裝付費(fèi) (PPI) 網(wǎng)絡(luò)和流量分配系統(tǒng) (TDS) 上的惡意廣告?zhèn)鞑?���,將安裝程序偽裝成免費(fèi)軟件�����、視頻和電影。Glupteba 利用比特幣區(qū)塊鏈通過(guò)接收更新的命令和控制服務(wù)器列表來(lái)避免中斷��,它應(yīng)該聯(lián)系以執(zhí)行命令��。
僵尸網(wǎng)絡(luò)的客戶端使用枚舉比特幣錢(qián)包服務(wù)器的發(fā)現(xiàn)功能檢索 C2 服務(wù)器地址�,檢索他們的交易��,并解析它們以找到 AES 加密地址�����。
Glupteba多年來(lái)一直采用這種策略�����,這是因?yàn)閰^(qū)塊鏈交易無(wú)法被刪除�,所以 C2 地址刪除工作對(duì)僵尸網(wǎng)絡(luò)的影響有限。
此外��,如果沒(méi)有比特幣私鑰���,執(zhí)法部門(mén)就無(wú)法將有效載荷植入控制器地址�����,因此像 2021 年初影響 Emotet 的事件那樣突然的僵尸網(wǎng)絡(luò)接管或全球停用是不可能的��。
唯一的缺點(diǎn)是比特幣區(qū)塊鏈?zhǔn)枪_(kāi)的��,因此任何人都可以訪問(wèn)它并審查交易以收集信息�����。
Glupteba 的回歸
Nozomi 報(bào)告說(shuō)��,Glupteba 今天繼續(xù)以同樣的方式使用區(qū)塊鏈���,因此其分析師掃描了整個(gè)區(qū)塊鏈以挖掘隱藏的 C2 域。這項(xiàng)工作是巨大的�,涉及對(duì)上傳到 VirusTotal 的 1,500 個(gè) Glupteba 樣本的審查,以提取錢(qián)包地址并嘗試使用與惡意軟件相關(guān)的密鑰來(lái)解密交易有效負(fù)載數(shù)據(jù)���。
最后�,Nozomi 使用被動(dòng) DNS 記錄來(lái)尋找 Glupteba 域和主機(jī)���,并檢查惡意軟件使用的最新 TLS 證書(shū)集����,以發(fā)現(xiàn)有關(guān)其基礎(chǔ)設(shè)施的更多信息。
Nozomi 的調(diào)查確定了四次 Glupteba 活動(dòng)中使用的 15 個(gè)比特幣地址�����,最近一次活動(dòng)開(kāi)始于 2022 年6月�����,即谷歌中斷六個(gè)月后�����,這項(xiàng)活動(dòng)仍在進(jìn)行中�。
與過(guò)去的行動(dòng)相比,這次活動(dòng)使用了更多的比特幣地址�����,使僵尸網(wǎng)絡(luò)更具彈性�����。
此外,自 2021 年活動(dòng)以來(lái)����,用作 C2 服務(wù)器的 TOR 隱藏服務(wù)的數(shù)量增長(zhǎng)了十倍,采用了類(lèi)似的冗余方法����。最多產(chǎn)的地址有11筆交易,并與 1,197 個(gè)樣本進(jìn)行了通信���,其最后一次活動(dòng)是在 2022 年 11 月 8 日注冊(cè)的。
Nozomi 還報(bào)告了最近在2022年11月22日通過(guò)被動(dòng)DNS數(shù)據(jù)發(fā)現(xiàn)的許多 Glupteba 域注冊(cè)�����。
從上面可以看出��,Glupteba 僵尸網(wǎng)絡(luò)已經(jīng)卷土重來(lái)�,跡象表明它比以前更龐大,而且可能更具彈性�,設(shè)置了大量后備地址來(lái)抵御研究人員和執(zhí)法部門(mén)的打擊。
