欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_安全防护正文

暴利谋生的背地:揭秘Phorpiex僵尸收集的赢利系统

b9e08c31ae1faa592020-07-2782Web安全

引见 不久前,Checkpoint研讨团队对Phorpiex僵尸收集的大规模性讹诈邮件运动举行了引见(可拜见《残虐的性讹诈邮件,躺赚的Phorpiex botnet幕后职员》一文)。Phorpiex既像蠕虫病毒又像文件病毒,它能经由过程破绽应用东西包和其他歹意软件流传,迄今为止已感染了一百多万台Windows电脑。据Checkpoint的测算,Phorpiex僵尸收集每一年发生的犯法收入约为50万美圆。 固然,要保护云云巨大的僵尸收集,须要一个牢靠的敕令与掌握(C&C)基本设施。关于局限较小的歹意软件来讲,最常运用的是假造专用效劳器(VPS)。VPS托管效劳可以从正当的公司购置,且很多VPS供应商不对运用者举行身份验证。然则关于Phorpiex僵尸收集而言,大众VPS并不适宜,因为天天有凌驾十万唯一IP地点的数百万要求发送到Phorpiex C&C效劳器,每一个月发生的C&C流量可以凌驾70 TB,这么大的流量轻易引发注重,因而Phorpiex不运用大众VPS托管效劳,而是运用一些挂名的专用IP子网。 Phorpiex僵尸收集架构 初期的Phorpiex是运用IRC协定(也称为Trik)操纵的僵尸收集,但近期的Phorpiex运动已转换为模块化架构,而且摆脱了IRC通讯。 2019年,我们险些没有看到它的IRC C&C效劳器上线过,但是遥测数据表明仍不计其数的主机遭遇Trik感染,因而我们主意捕捉了一个IRC C&C效劳器敕令,此敕令用于加载另一歹意软件到电脑: 我们猜想,这个名为Tldr(多是“TrikLoader”)的歹意软件现在已成为Phorpiex僵尸收集的中心部份。Tldr是一个下载顺序,它运用HTTP协定与C&C效劳器通讯。它的重要目标是在机械上加载另一个歹意软件。一些Tldr样本具有盘算机蠕虫的功用,可以经由过程可挪动驱动器流传。我们还视察到该歹意软件的变种,其行为类似于感染其他软件的文件病毒。 假如攻击者须要,可以经由过程加载分外的模块来扩大僵尸收集的功用。下图显现了当前僵尸收集的感染流程和模块化架构。

 暴利谋生的背地:揭秘Phorpiex僵尸收集的赢利系统  Web安全 第1张

图2 – Phorpiex感染流程和架构。

Tldr、VNC蠕虫和NetBIOS蠕虫等模块的目标都是尽量漫衍僵尸收集,漫衍越广,Phorpiex运营职员取得的利润就越高。 僵尸收集赢利体式格局重要有以下四种: · 色情短信 · 加密钱银挟制 · 加密钱银剪切(Crypto-currency clipping) · 加载其他歹意软件(特务软件Raccoon、Predator The Thief等) 现在,Phorpiex僵尸收集停了讹诈软件的分发效劳。自GandCrab讹诈软件宣告退役后,Phorpiex完整转向了分发色情垃圾邮件、加载特务软件的体式格局。 值得注重的是,险些一切Trik和Tldr的样本都包含加密钱银剪切板功用。一切加密钱包的地点都由数字和字母构成,在不运用其他装备的状况下,传输加密钱银的唯一要领是将地点复制到剪贴板,然后将其插进去钱包应用顺序中相应的字段中。歹意软件会转变剪贴板上的加密钱包地点,钱就会被转移到攻击者的钱包里。这个功用能让歹意软件运营商躺着赢利,纵然当C&C效劳器离线时也是云云,到现在为止,他们经由过程这类体式格局已收集了凌驾17个比特币。 Phorpiex僵尸收集容量评价 Phorpiex机械人会不停扫描从设置中提取的域名和IP地点,纵然有用的C&C效劳器做出相应,也会继承查询其他主机。因而,在注册了差别Tldr设置的域以后,我们最先从Phorpiex机械人吸收大批衔接,这使我们可以对Phorpiex容量做评价。 在过去的两个月中,我们登记了凌驾1,000,000个自力主机的衔接。恣意时候均匀都有15,000个机械人在线,天天约有100,000个机械人处于运动状况。

 暴利谋生的背地:揭秘Phorpiex僵尸收集的赢利系统  Web安全 第2张

图3 –每小时在线的机械人数目。

僵尸收集主机重要位于亚洲,个中印度、中国、泰国和巴基斯坦的占比最高,美国、墨西哥和很多非洲国家/区域也有,欧洲则险些不受僵尸收集的影响。  C&C基本架构 一切Phorpiex模块都运用IP地点和域名的硬编码列表举行C&C通讯。只管大多数歹意软件都实行了DGA,但运用硬编码域名不会损伤Phorpiex机械人的生存才能。我们推想域名列表被用作了一种预防措施,以便在被IP地点接见的C&C效劳器丧失的状况下可以从新取得对机械人的掌握。域名列表是按期更新的。在2019年监测Phorpiex时期,我们发明了4000多个差别的Tldr样本,具有约莫300个设置和3297个域名和IP地点。 Tldr与Trik IRC机械人运用雷同的C&C效劳器: 当前,僵尸收集为其C&C效劳器运用的最活泼IP是185.176.27.132,其地点来自子网92.63.197.0/24。 我们发明托管大批Phorpiex C&C效劳器的子网92.63.197.0/24在诸如Smoke Loader和Necurs等其他要挟行为中也被视察到,并用于发送收集垂纶和垃圾邮件以及端口扫描。 关于此子网的另一个值得注重的处所是,它由乌克兰的一名企业家注册: 构造称号:FOP HORBAN VITALII Anatoliyovich 机构范例:OTHER 地点:62408, KHARKIV REGION, ELITE village, SCHOOL str. 25, AP. 26 电子邮件:[email protected] 应用这些信息我们找到了名为“ FOP HORBAN VITALII Anatoliyovich”个别企业家的注册数据。他的重要营业是食物零售: 因而,我们以为“FOP HORBAN VITALII Anatoliyovich”只是一个幌子。 假如我们搜刮Phorpiex C&C效劳器运用的另一个IP地点(185.176.27.132)的数据,会涌现雷同的状况: 构造称号:IP Dunaev Yuriy Vyacheslavovich 机构范例:OTHER
针对Besder网络摄像头的逆向分析和漏洞挖掘 这篇文章,我会对Besder IP20H1网络摄像头进行逆向分析和漏洞挖掘。  硬件方面,IP20H1有4个电线连接器,处理器仍然是一个HI3516,一种常见的IP摄像头SoC。 前期,我要做的就是捕获数据包,读取它们,之后再开始编写自己的客户端!但在此之前,我必须要做以下3件事: 1.获取所有端口号,源和目的地以及使用它们进行通信的人员的列表; 2.研究数据包的基本结构并弄清楚基本的格式; 3.查看客户端软件,以了解内部工作的线索。 逆向分析 逆向分析使用的应用程序是XMEye应用程序,XMEye是一款监控软件,配套ipc、Dvr等前端监控设备,通过设备的序列号以云方式登录,将实时的监控画面显示的Android移动设备上并对设备进行预览操作,这意
地点:420132, Kazan, Chuikova str, 69 电子邮件:[email protected] Dunaev Yuriy Vyacheslavovich也是来自俄罗斯(鞑靼斯坦共和国)的个别企业家,重要处置运输效劳。与前一个案例一样,营业与互联网或IT没有任何关系。 到该收集的数据包经过了物理上位于保加利亚的Telehouse ISP路由:
9 50 ms 49 ms 49 ms as50360.peer.telehouse.bg [178.132.83.102]
10 46 ms 46 ms 46 ms 192.168.244.2
11 51 ms 50 ms 50 ms 185.176.27.9
12 50 ms 46 ms 50 ms 185.176.27.132
这也许是Phorpiex运营者和另一个收集犯法构造之间的协作,该构造从RIPE取得IP子网,并供应托管歹意C&C基本构造的效劳。 加密挟制 加密挟制是指未经受权运用别人的盘算机来发掘加密钱银。Phorpiex装载到盘算机的个中一个payload就是XMRig矿机,它运用Phorpiex C&C效劳器作为矿池: 另外,我们找到了Phorpiex XMRig样本的XMR地点,它与性讹诈运动中运用的地点雷同。钱包以集成花样存储,这意味着地点里还包含了付款ID。付款ID一般用于辨认与商家和生意业务所的生意业务。Phorpiex XMRig样本中提取的、用于性讹诈运动中的XMR地点只要付款ID差别: 因为Monero区块链的隐私设置,它不许可我们跟踪生意业务和检察个人的余额,不过我们照样可以运用僵尸收集容量评价、Monero采矿红利才能盘算,以及其他Monero基准的效果来预计暗码挟制运动的红利才能。假定Phorpiex的均匀受害者没有顶级硬件,我们盘算的基本是100 H/s的低哈希率,相当于INTEL I5-6500T CPU,在任何时候均匀都有15000个机械人在线,因而,Phorpiex僵尸收集供应的Monero发掘的总哈希率为1.5 MH/s。固然,Phorpiex运营职员还不必像其别人一样付出电费和矿池费,所以我们假定这些值为0:

 暴利谋生的背地:揭秘Phorpiex僵尸收集的赢利系统  Web安全 第3张

图7 –Monero采矿的赢利才能盘算。

因而,依据我们的评价,Porpiex僵尸收集每一年最少发生3122 XMR,现在相当于约21个比特币(BTC)或180000美圆。 加密钱银剪切 2016年8月,我们初次在Trik设置中视察到加密钱银剪切功用的增加,一最先Trik只盗取比特币,但在Tldr中增加了对其他假造钱银的支撑,包含以太币、Litecoin以至Perfectmoney。 与Monero差别,比特币和以太坊区块链许可我们监控一切生意业务。因而我们收集了大批的Trik和Tldr样本,并从中提取了比特币钱包。 从Trik设置中提取的比特币钱包在376笔生意业务中统共收到了凌驾11个BTC: 从上表中我们可以看到,只管Trik机械人没有收到更新,C&C效劳器也离线了,但一些钱包仍然在延续取得比特币。 下表为从Tldr设置中提取的比特币钱包:

 暴利谋生的背地:揭秘Phorpiex僵尸收集的赢利系统  Web安全 第4张

表4 – Phorpiex Tldr用于加密钱银剪切的BTC钱包

因而,在3年的时候里,加密钱银剪切使得运营职员在875笔生意业务中盗取了17个比特币,即每一年约5.6个比特币。 提取自Trik和Tldr样本的以太坊加密钱银钱包的收益远低于比特币钱包: 现在唯一51笔生意业务,总计约17 ETH,其现值远低于比特币。但是,我们对这些钱包感兴趣另有另一个缘由:诸如etherescan.io之类的效劳可以显现以太坊地点是不是属于特定的生意业务所或效劳,而关于表中的地点,一切ETH都将传输到Cryptonator效劳的地点: 因而我们可以得出结论,在加密剪切行为中运用的以太坊地点是在一个Cryptonator钱包中建立的。Cryptonator须要一个有用的电子邮件地点,以便经由过程电子邮件为每一个新IP地点和装备举行注册和确认。我们以为,Cryptonator效劳的接见日记可以会存储Phorpiex运营者的实在IP地点。 另一个值得注重的处所是,一些以太坊钱包收集了大批的ERC-20代币: 然则,因为Cryptonator不支撑基于以太坊区块链的代币,代币没法从钱包中提取。运营职员很有可以没有考虑到这一点,因而从受害者那边取得的代币转移是没法完成的。 与性讹诈运动的比较 约莫半年以来,我们一直在视察Phorpiex的性讹诈运动,并记录到与该运动取得了14个以上的比特币。假如这类趋向继承下去,那末年收入应该是28个比特币。

 暴利谋生的背地:揭秘Phorpiex僵尸收集的赢利系统  Web安全 第5张

图10 –差别歹意运动的收益比较。

与运用僵尸收集举行加密钱银剪切或发掘比拟,性讹诈似乎是一种更具红利才能的营业。这些营业并行每一年能发生约54.6个比特币,估价约为500,000美圆。 结论 我们检察了一些供应歹意软件装置效劳的暗网广告,一般每感染1000个的价钱在100美圆到1000美圆不等,取决于受害者的位置。Phorpiex机械人大多位于亚洲——在这个区域歹意软件装置效劳是最廉价的。因而,要在暗网上购置歹意软件感染效劳,Phropiex运营者须要付出约莫10万美圆,不过除了经由过程RIG exploit kit或Smokeloader僵尸收集等效劳购置感染以外,Phropiex还运用本身的分发手艺:VNC蠕虫模块、NetBIOS蠕虫模块和文件病毒功用。扣除这些本钱,建立如许一个僵尸收集也是黑白常有利可图的。 Phorpiex运用的东西并不庞杂,运营职员在其生长上花的时候也并不多。这个案例向我们展现了收集罪犯份子建立这么一个巨大的僵尸收集时,不须要对体系编程、暗码学等有深切的相识,就可以轻易上手。 而暗网中当前存在的生态体系,也使得收集犯法份子想实行犯法的主意变得越发轻易。 本文翻译自:https://research.checkpoint.com/2019/phorpiex-breakdown/

网友评论

1条评论
  • 2020-07-27 00:05:57

    欧博网址www.dongfangculture.com欢迎进入欧博网址(Allbet Gaming),欧博网址开放会员注册、代理开户、电脑客户端下载、苹果安卓下载等业务。交流一下呗