赛门铁克的安全研究人员近日称,网络犯罪分子正在使用ZeuS特洛伊木马的一种改进版本,该版本不再需要命令与控制服务器(C&C)接收指令。
ZeuS僵尸网络在网络犯罪分子圈内非常流行,因为它可以从受感染系统上盗取各类信息、文档和注册证书。多年来,ZeuS已成为大多数针对网上银行系统诈骗行为的首选武器。
这个特洛伊木马的源代码已于去年在互联网上秘密发布,并允许第三方进行改进。
2011年11月,安全研究人员发现,一个经过大量修改的ZeuS变种能够以P2P方式,从一台缺少抵抗力的主机到另一台主机进行接力式攻击。
该特洛伊版本仍可连接C&C服务器,释放被盗信息,接收指令,只有当服务器宕机时,才会使用P2P系统作为后备机制。
赛门铁克最近又探测到一个新的变种,则完全不再需要C&C服务器。“僵尸网络中的每个对等端都可以当做C&C服务器来使用,虽然这些端点并非真正的C&C服务器,”赛门铁克研究人员Andrea Lelli在周三撰写的博客中称。
“僵尸网络如今能够从其他僵尸网络下载指令、配置文件并执行。每台受感染的电脑都可以为其他僵尸电脑提供数据,”她说。
为了实现这种功能,这一ZeuS变种的创建者们已将nginx Web服务器变成了特洛伊木马,可以让每台受感染的电脑通过HTTP协议接收和发送数据。
这就让ZeuS僵尸网络变得更为灵活多变,因为它不再有安全研究人员所针对的单点故障,还能防止僵尸跟踪系统如ZeusTracker干扰他们的攻击。
“ZeusTracker在跟踪和发布全球Zeus C&C服务器的IP块地址列表方面取得了相当可观的成就,”Lelli说,但是Zeus僵尸将其功能切换到P2P上就意味着ZeusTracker不再可能发布精确的Zeus C&C IP块列表了。
很多机构都是靠在网络层禁止Zeus流量来防止恶意软件盗取敏感数据的。监控C&C IP地址还能帮助企业识别自己网络中受感染的电脑。
赛门铁克研究人员已经检测到了这款新的ZeuS变种在分发伪装成防病毒程序的恶意软件。不过他们尚未搞清楚它是如何在没有C&C服务器的情况下,将捕获的信息返回给攻击者的。
“分析还将继续,我们正在努力挖掘这部分秘密,以便搞清楚新版ZeuS的整个生态链,”Lelli称。
