赛门铁克:ZeuS新变种不再需要指令服务器

服务器
赛门铁克的安全研究人员近日称,网络犯罪分子正在使用ZeuS特洛伊木马的一种改进版本,该版本不再需要命令与控制服务器(C&C)接收指令。

赛门铁克的安全研究人员近日称,网络犯罪分子正在使用ZeuS特洛伊木马的一种改进版本,该版本不再需要命令与控制服务器(C&C)接收指令。

  ZeuS僵尸网络在网络犯罪分子圈内非常流行,因为它可以从受感染系统上盗取各类信息、文档和注册证书。多年来,ZeuS已成为大多数针对网上银行系统诈骗行为的首选武器。

  这个特洛伊木马的源代码已于去年在互联网上秘密发布,并允许第三方进行改进。

  2011年11月,安全研究人员发现,一个经过大量修改的ZeuS变种能够以P2P方式,从一台缺少抵抗力的主机到另一台主机进行接力式攻击。

  该特洛伊版本仍可连接C&C服务器,释放被盗信息,接收指令,只有当服务器宕机时,才会使用P2P系统作为后备机制。

  赛门铁克最近又探测到一个新的变种,则完全不再需要C&C服务器。“僵尸网络中的每个对等端都可以当做C&C服务器来使用,虽然这些端点并非真正的C&C服务器,”赛门铁克研究人员Andrea Lelli在周三撰写的博客中称。

  “僵尸网络如今能够从其他僵尸网络下载指令、配置文件并执行。每台受感染的电脑都可以为其他僵尸电脑提供数据,”她说。

  为了实现这种功能,这一ZeuS变种的创建者们已将nginx Web服务器变成了特洛伊木马,可以让每台受感染的电脑通过HTTP协议接收和发送数据。

  这就让ZeuS僵尸网络变得更为灵活多变,因为它不再有安全研究人员所针对的单点故障,还能防止僵尸跟踪系统如ZeusTracker干扰他们的攻击。

  “ZeusTracker在跟踪和发布全球Zeus C&C服务器的IP块地址列表方面取得了相当可观的成就,”Lelli说,但是Zeus僵尸将其功能切换到P2P上就意味着ZeusTracker不再可能发布精确的Zeus C&C IP块列表了。

  很多机构都是靠在网络层禁止Zeus流量来防止恶意软件盗取敏感数据的。监控C&C IP地址还能帮助企业识别自己网络中受感染的电脑。

  赛门铁克研究人员已经检测到了这款新的ZeuS变种在分发伪装成防病毒程序的恶意软件。不过他们尚未搞清楚它是如何在没有C&C服务器的情况下,将捕获的信息返回给攻击者的。

  “分析还将继续,我们正在努力挖掘这部分秘密,以便搞清楚新版ZeuS的整个生态链,”Lelli称。
 

责任编辑:张玉 来源: 网界网
相关推荐

2014-12-24 14:17:36

2022-05-16 13:37:12

Sysrv僵尸网络微软

2009-10-13 10:55:14

Web服务器故障排除

2018-05-18 09:43:37

服务器架构大型网站

2012-07-06 15:07:45

华为Tecal服务器

2011-08-10 09:56:31

2023-03-11 09:05:36

2010-04-20 00:10:42

2022-12-12 07:30:59

编程语言架构

2016-01-28 15:03:05

IBMPower

2011-12-09 10:17:07

2009-01-06 09:14:56

曙光天阔I620r-H

2011-03-07 13:59:00

2023-10-06 23:53:29

2010-05-17 17:01:48

IIS服务器

2012-06-18 11:05:08

网游服务器

2013-03-08 09:54:46

Symantec Sy税务局备份

2017-08-08 14:33:36

无服务计算服务器

2010-05-17 18:13:15

IIS服务器

2010-05-21 13:07:14

Windows下SVN
点赞
收藏

51CTO技术栈公众号