揭秘Phorpiex僵尸网络:一旦熏染 秒变“肉鸡”_天天体育

时间:2021-09-24 00:43 作者:天天体育
本文摘要:Phorpiex,一种兼具蠕虫病毒和文件型病毒特性的僵尸网络病毒,能够借助毛病使用工具包以及其他恶意软件举行流传,迄今为止已熏染凌驾100万台Windows盘算机。另据网络宁静公司Check Point的统计,Porpiex僵尸网络每年发生的犯罪收入或许在50万美元左右。与其他僵尸网络差别,该僵尸网络没有选择使用公共VPS托管服务来托管其下令与控制(CC)基础设施,而是使用了一些使用盗用身份注册的专用IP子网,为的就是只管不引起注意。

天天体育

Phorpiex,一种兼具蠕虫病毒和文件型病毒特性的僵尸网络病毒,能够借助毛病使用工具包以及其他恶意软件举行流传,迄今为止已熏染凌驾100万台Windows盘算机。另据网络宁静公司Check Point的统计,Porpiex僵尸网络每年发生的犯罪收入或许在50万美元左右。与其他僵尸网络差别,该僵尸网络没有选择使用公共VPS托管服务来托管其下令与控制(C&C)基础设施,而是使用了一些使用盗用身份注册的专用IP子网,为的就是只管不引起注意。

Phorpiex僵尸网络的架构最初,Phorpiex使用的是IRC协议,在其时也被称为“Trik”。但在最近,Phorpiex不再使用IRC协议,而且其架构开始出现模块化。图1.带有解密URL的Trik C&C通信转储现在,Tldr(可能代表“TrikLoader”)已成为Phorpiex僵尸网络的焦点部门。Tldr是一个使用HTTP协议与C&C服务器通信的下载法式,主要卖力在受熏染盘算机上加载其他恶意软件。

其中一些Tldr样本还具有蠕虫病毒的功效,可以通过可移动驱动器流传。此外,Check Point还发现了该恶意软件的变种,它们可以像文件病毒一样熏染其他软件。

如有须要,攻击者还可以通过加载分外的模块来扩展僵尸网络的功效。下图展示了当前Phorpiex僵尸网络的熏染链以及模块化体系架构。图2.Phorpiex的熏染链和架构配备Tldr、VNC蠕虫和NetBIOS蠕虫等模块的目的都是为了生长壮大僵尸网络,Phorpiex运营商的最终目的是获得利润,通常以加密钱币为单元,详细方式如下:性勒索垃圾邮件(Sextortion spam);非法挖矿(Crypto-jacking);通过剪贴板窃取加密钱币钱包(Crypto-currency clipping);加载其他恶意软件(如特工软件Raccoon、Predator The Thief等)。

图3.差别恶意运动的收益占比Phorpiex僵尸网络的规模Phorpiex僵尸网络“肉鸡”会天天连续不停地扫描从设置中提取的域名和IP地址,纵然是C&C服务器做出响应,也会继续查询其他主机。在已往的两个月里,Check Point记载了凌驾100万个独立主机的毗连,天天约有10万个“肉鸡”处于运动状态,每小时平均有1.5万个“肉鸡”同时在线。

图4.每小时的在线“肉鸡”数量“肉鸡”主要位于亚洲国家/简直,包罗印度、中国、泰国和巴基斯坦。此外,在美国、墨西哥和一些非洲国家/地域也有“肉鸡”的存在,欧洲险些不受影响。C&C基础设施所有Phorpiex模块都使用硬编码的IP地址和域名举行C&C通信,但域名列表会定期更新。

天天体育

在今年监测Phorpiex期,Check Point发现了4000多个差别的Tldr样本,其中包罗了约莫300种设置以及3297个域名和IP地址。值得注意的是,Tldr与Trik“肉鸡”使用的是相同的C&C服务器:图5.Phorpiex僵尸网络的C&C服务器结论Phorpiex被作为一种恶意软件即服务(Malware-as-a-Service,MaaS)在暗网出售,通常每熏染1000台盘算机的价钱在100美元到1000元美元不等,详细取决于目的盘算机所处的国家/地域。熏染100万台盘算机,约莫需要向恶意软件即服务提供方支付10万美元,再扣除支付给毛病使用工具包提供方的用度以及花费在流传技术(如VNC蠕虫模块、NetBIOS蠕虫模块以及文件病毒功效)上的成本,建立这样一个僵尸网络似乎仍然是很是有利可图的。

这个案例再次告诉我们,如今的网络犯罪分子想要建立一个庞大的僵尸网络,已经无需对盘算机编程、密码学等有太多的相识,只要花上一笔钱就能够轻松办到。暗网,正在进一步降低网络犯罪的门槛。


本文关键词:揭秘,Phorpiex,僵尸,网络,一旦,熏染,秒变,“,天天体育

本文来源:天天体育投注官网-www.rqclllc.com