2010年3月11日 星期四

[news]Mariposa殭屍網路的相關知識

Mariposa殭屍網路的相關知識


什麼是「殭屍網路」?
殭屍網路是由殭屍病毒所有者所控制的殭屍電腦群組(網路)。病毒所有者會寄出殭屍病毒的主結構,然後再利用它來更新並下載新的惡意軟體病毒株,藉此散佈廣告、寄發垃圾郵件、或製造相關攻擊來導致電腦當機。


Mariposa殭屍網路是何時被人發現的?
由加拿大資安防護廠商Defence Intelligence公司首先於2009年5月發現的。

這起事件和最近的Kneber殭屍網路或Zeus病毒攻擊有關嗎?
不,除了它們都和殭屍網路有所牽連以外,實際上兩者毫無相關。Kneber是一個由Zeus木馬所構成的殭屍網路,而現在甚至還有上百種由Zeus木馬「演化」而成的殭屍網路散佈在全世界。說穿了Kneber殭屍網路和Mariposa殭屍網路的分別其實很簡單,前者早在2007年末就出現了變種分身,而後者才出現約一年而已。

Mariposa殭屍網路的特色為何?
這是有史以來規模最大的殭屍網路。在分析過log紀錄檔以及殭屍病毒所在的IP位址之後,我們才發現竟然有1,200萬台電腦遭到感染。

誰是殭屍網路的受害者?他們是打哪來的?
由於感染數量相當龐大,因此任何人都無法逃脫這個殭屍網路的魔掌,就連許多企業(包括美國1,000大企業在內)也不例外。

遍布全球190個國家、屬於個人、企業、政府機關、大學院校的1,270萬台電腦都曾受到感染;而遭到竊取的資料則包括銀行帳戶資料、信用卡號碼、使用者名稱/密碼等等。

這個殭屍網路估計造成多少金額的損失?
儘管執法單位仍在進行相關資料的鑑識比對工作,但因詐欺、金融盜竊、資料遺失所造成的相關善後成本估計高達數千萬美元。

嫌犯操縱Mariposa殭屍網路的目的是什麼?
這類案件的動機多半是為了錢。嫌犯會用幾種不同的方法來營利:出租一部分的殭屍網路資料、安裝惡意軟體、盜竊信用資料,或進行分散式阻斷服務(DDoS,一種網路駭客攻擊)等等。

由Netkairo的硬碟資料可知,這些複雜難辨的網路供應商甚至還提供了許多加值服務:駭入伺服器以操縱殭屍網路、加密殭屍網路以防防毒軟體偵測、連接隱匿的私人網路空間以運作殭屍網路等等。

他同時也有一長串的客戶名單等著付費租用某部份的殭屍網路,這些名單多半是透過偷來的信用卡號碼和強迫安裝工具列等方式取得。

電腦感染到殭屍病毒時,我們該做些什麼?
感染電腦會在被害者不知情的狀況下變成Mariposa殭屍網路的一部分。而從那一刻開始,感染電腦就成為殭屍網路首腦的玩物(被指令碼操縱),進而去安裝新型的惡意軟體、或被相關攻擊搞到電腦當機等等。

此外,殭屍病毒還擁有蠕蟲的功能,能透過P2P網路、即時通訊軟體、USB裝置(MP3播放器、手機)等平台進行散佈。

有關單位是用什麼方法來掃蕩Mariposa殭屍網路的?
Panda防毒軟體公司、Defence Intelligence公司、喬治亞理工學院等多個國家的資安專家和執法單位共同組成了Mariposa工作小組,群策群力殲滅殭屍網路,並將犯罪者繩之以法。

殭屍網路背後的藏鏡人到底是誰?
Mariposa殭屍網路是由名叫DDP的網路犯罪團體所組成。目前調查行動還在許多國家持續進行中。

有關單位進行了哪些調查行動?他們是如何逮捕嫌犯的?
首先,Mariposa工作小組在世界各地(多半是在西班牙)收集各種殭屍網路控制面板的相關資訊。然後在12月23日,透過國際間的互助行動捕捉到Mariposa首腦所用的殭屍網路專屬通訊管道,並且截斷了他的控制權。殭屍網路首腦-別名Netkairo的傢伙對此情況感到非常沮喪,也想盡各種方法來重新取得它們的部份控制權。之後他選擇透過隱匿的虛擬網路裝置服務來連接控制面板,而這個常見的連接方式卻暴露了他的所在位置。除此之外,他還犯了一個致命錯誤-透過家用電腦來上網;他設法重抓了一個殭屍網路,並利用它來對Defence Intelligence公司進行分散式阻斷服務(DDoS,一種網路駭客攻擊)。最後他完全喪失了伺服器控制權,並於2月3日遭到逮捕。

Netkairo是西班牙人,現為31歲,在他乖乖就範之後,西班牙警方透過他的電腦資料於2010年2月24日抓到了其他兩名西班牙籍同夥:30歲的J.P.R.(暱稱為jonyloleante)以及25歲的J.B.R(暱稱為ostiator)。目前調查行動還在持續進行中,我們預期未來幾周內還會有其他國家的同夥遭到逮捕。

如何辨別自己的電腦是否為殭屍網路的一員?
Panda防毒軟體公司所採取的第一個動作就是聯絡並提供殭屍病毒的樣本給其他防毒廠商,好讓它們的防毒軟體能偵測並阻檔殭屍病毒的入侵。

如何辨別自己是否為Mariposa殭屍網路的受害者(資料有無遺失)?
Defence Intelligence公司願對遭受感染的組織伸出援手。若貴組織有相關意願,請利用下列電子信箱與Defence Intelligence公司聯絡:compromise@defintel.com。

相關資訊連結:http://www.pandasecurity.com.tw/
 
相關資訊連結: http://www.pandasecurity.com.tw/ 
此篇文章出處:
Mariposa殭屍網路的相關知識

相關文章 :

0 意見: