近期,賽門鐵克與其他合作伙伴攜手歐洲刑警組織下屬的歐洲網(wǎng)絡(luò)犯罪中心(EC3)共同連手出擊,一舉破獲了Ramnit僵尸網(wǎng)絡(luò)(賽門鐵克檢測為W32.Ramnit.B)所持有的服務(wù)器和其它基礎(chǔ)設(shè)施。該網(wǎng)絡(luò)犯罪團(tuán)體已經(jīng)從事犯罪活動超過五年時(shí)間,在此期間內(nèi)發(fā)展成為一個大型犯罪集團(tuán),通過僵尸網(wǎng)絡(luò)總共感染超過320萬臺計(jì)算機(jī),欺詐了眾多無辜受害者。在此次合作中,賽門鐵克提供了重要的全球范圍內(nèi)的威脅數(shù)據(jù)與分析。基于其全球智能網(wǎng)絡(luò)(Global Intelligence Network)以及全天不間斷服務(wù)的(24x7)安全運(yùn)營中心,賽門鐵克擁有全球最完整的實(shí)時(shí)網(wǎng)絡(luò)威脅數(shù)據(jù)資源,在分析、應(yīng)對網(wǎng)絡(luò)犯罪中發(fā)揮了核心作用。
一旦入侵成功,Ramnit將為犯罪分子提供多種欺詐途徑,使其能夠遠(yuǎn)程訪問并控制受感染的計(jì)算機(jī)。它能夠監(jiān)控受害者的網(wǎng)絡(luò)瀏覽進(jìn)程并竊取銀行憑證。此外,它還能夠竊取網(wǎng)站cookie,使犯罪分子冒充受害者并從硬盤上讀取文件,以及為攻擊者分配遠(yuǎn)程訪問該計(jì)算機(jī)的權(quán)限,以便泄露竊取信息或下載其它惡意軟件。
日益加劇的威脅
Ramnit(W32.Ramnit)的初始形態(tài)是蠕蟲病毒,首次出現(xiàn)于2010年,激進(jìn)的自繁殖策略使其得到迅速傳播。一旦入侵計(jì)算機(jī),該病毒就會找出本地硬盤和移動硬盤上所有的EXE、DLL、HTM和HTML文件,通過自身副本感染這些文件。
這款惡意軟件隨著時(shí)間進(jìn)化,其控制者把重點(diǎn)從構(gòu)筑僵尸網(wǎng)絡(luò)轉(zhuǎn)移到利用僵尸網(wǎng)絡(luò)。為了實(shí)現(xiàn)多種感染方法,Ramnit的最新版本(W32.Ramnit.B)已經(jīng)放棄了文件感染套路。它從Zeus Trojan借鑒了幾種不同的模塊(Trojan.Zbot,其源代碼于2011年5月泄露),大幅度提高了網(wǎng)絡(luò)犯罪能力。這一發(fā)展使Ramnit僵尸網(wǎng)絡(luò)轉(zhuǎn)變?yōu)橐粋€巨大的網(wǎng)絡(luò)犯罪帝國,入侵了高達(dá)35萬臺計(jì)算機(jī),大量竊取了受害人的銀行憑證、密碼、cookie和個人文件等。
Ramnit特性
現(xiàn)在,Ramnit已經(jīng)成為一款功能全面的網(wǎng)絡(luò)犯罪工具,具有6個標(biāo)準(zhǔn)模塊,為攻擊者提供了多種入侵途徑。
1. 間諜模塊:作為Ramnit最強(qiáng)大的功能之一,該模塊能夠監(jiān)控受害人的網(wǎng)絡(luò)瀏覽活動,并檢測他們所訪問特定網(wǎng)頁的時(shí)間(例如,網(wǎng)絡(luò)銀行網(wǎng)站)。它能夠?qū)⒆陨碇踩胧芎φ叩臑g覽器,并操縱銀行的網(wǎng)站,使其看起來像是銀行在要求受害人提供額外憑證,例如信用卡詳細(xì)信息等。犯罪分子將利用這些被竊取的數(shù)據(jù)進(jìn)行欺詐。
2. cookie提取工具:該特性將從網(wǎng)絡(luò)瀏覽器中竊取會話cookie,并發(fā)送回攻擊者。攻擊者將利用這些cookie使其通過網(wǎng)站認(rèn)證,進(jìn)而冒充受害者,并劫持網(wǎng)絡(luò)銀行活動。
3. 硬盤掃描工具:該功能能夠掃描計(jì)算機(jī)的硬盤,并從中竊取文件。它的配置可以搜索有可能包含密碼等敏感信息的特定文件夾。
4. 匿名FTP服務(wù)器:通過連接到此服務(wù)器,該惡意軟件能夠使攻擊者遠(yuǎn)程訪問受入侵的計(jì)算機(jī),并瀏覽其中的文件系統(tǒng)。此外,攻擊者能夠利用該服務(wù)器上傳、下載或刪除文件并執(zhí)行命令。
5. 虛擬網(wǎng)絡(luò)計(jì)算(VNC)模塊:該工具為攻擊者提供了另一種獲取計(jì)算機(jī)遠(yuǎn)程訪問權(quán)限的途徑。
6. FTP捕獲工具:該功能使攻擊者能夠收集大量FTP客戶端的登錄憑證。
持久威脅
Ramnit的制造者已經(jīng)合并了多種功能,使其很難從受入侵的計(jì)算機(jī)上被清除。在安裝過程中,它會將副本植入計(jì)算機(jī)的內(nèi)存,并將自身寫入硬盤?;趦?nèi)存的副本會積極地監(jiān)控硬盤,如果檢測到基于硬盤的副本已經(jīng)被刪除或隔離,它會在硬盤上恢復(fù)一個新的副本,以保持感染狀態(tài)。
[page]Ramnit的傳播途徑
盡管早期版本的Ramnit依賴文件感染作為途徑傳播,但當(dāng)今的攻擊者詭計(jì)多端,通過多種手段入侵受害者的計(jì)算機(jī)。近期Ramnit所使用的主要方法之一是通過在受入侵的網(wǎng)站和社交媒體頁面上的托管開發(fā)工具包。此外,在公共FTP服務(wù)器上也發(fā)現(xiàn)了被分發(fā)的惡意軟件。另一種可能入侵的途徑是通過安裝來自未知來源的軟件中捆綁的可能不需要的應(yīng)用程序。
受害者所在地區(qū)
Ramnit的受害者遍及世界各地,大多數(shù)國家都發(fā)現(xiàn)了感染案例。近期受到最大影響的國家包括印度、印度尼西亞、越南、孟加拉國、美國和菲律賓。
圖:Ramnit感染地區(qū)
盡管隨著時(shí)間的推移,受感染的計(jì)算機(jī)數(shù)量正在減少,但Ramnit僵尸網(wǎng)絡(luò)依然非常猖獗。例如,在2014年11月,賽門鐵克每日平均攔截大約6,700個新感染案例。與2014年5月的每日8,000例相比,這個數(shù)字已經(jīng)有所下降。
安全防護(hù)
賽門鐵克已經(jīng)發(fā)布了一款用于檢查Ramnit感染的工具,能夠使用戶從受入侵的計(jì)算機(jī)上將其清除。下載工具請?jiān)L問:http://www.symantec.com/security_response/writeup.jsp?docid=2015-022415-4725-99
賽門鐵克和諾頓產(chǎn)品具備以下Ramnit檢測功能:
◆防病毒
◇W32.Ramnit
◇W32.Ramnit.B
◇W32.Ramnit!inf
◇ W32.Ramnit.C!inf
◇W32.Ramnit.D!inf
◇W32.Ramnit!html
◆入侵防御系統(tǒng)
◇System Infected: Ramnit Zbot Web Inject Activity