警方劫持僵尸网络并远程移除 85 万台受感染计算机上的恶意程序

作者:深信服科技股份有限公司广州办事处 | 国际 2019/09/03 16:48:57 389
文章来源:https://www.cnbeta.com/articles/tech/884699.htm

据外媒TechCrunch报道,在一项罕见的壮举中,法国警方劫持了一个庞大的加密货币挖掘僵尸网络,其控制着近百万台受感染的计算机。臭名昭著的Retadup恶意软件感染计算机,主要被用于挖掘加密货币。

虽然恶意软件被用来赚钱,但恶意软件运营商很容易运行其他恶意代码,如间谍软件或勒索软件。恶意软件还具有可信的属性,允许它从计算机传播到计算机。自首次亮相以来,加密货币挖掘恶意软件已遍布全球,包括美国,俄罗斯以及中南美洲。

cdba2e6e2459a03

安全公司Avast通过一篇博文证实该行动是成功的。

该安全公司在发现恶意软件的命令和控制服务器中存在设计缺陷后参与其中。研究人员表示,如果利用得当,该漏洞将“允许我们从受害者的计算机中删除恶意软件”,而不会将任何代码推送到受害者的计算机上。

该漏洞将拆除该操作,但研究人员缺乏推进的法律授权。由于大多数恶意软件的基础设施位于法国,因此Avast与法国警方联系。在7月份接到检察官的批准后,警方继续进行操作,控制服务器并对远程移除了受影响计算机上的恶意程序。9f33c174de2eeb3

法国警方称该僵尸网络是“世界上被劫持计算机最大的网络之一”。

该操作通过与其Web主机的协作秘密获取恶意软件的命令和控制服务器的快照而起作用。研究人员表示,他们必须谨慎行事,以免恶意软件运营商注意到这一点,因为他们担心恶意软件运营商可以进行报复。

“这些恶意软件的作者主要分发加密货币矿工,从而获得了非常好的被动收入,”这家安全公司表示。“但如果他们意识到我们即将完全取消Retadup,他们可能会将勒索软件推送到成千上万台计算机,同时试图将其恶意软件用于获取最后的利润。”

随着手中的恶意命令和控制服务器的副本,研究人员构建了自己的副本,远程移除了受害者计算机的恶意软件,而不是导致感染。

ebee12be1238d07

“(警察)用准备好的杀毒服务器取代了恶意(命令和控制)服务器,该服务器使连接的Retadup实例自毁,”Avast在博客文章中说。“在其活动的第一秒,有数千个机器人连接到它,以便从服务器获取命令。杀毒服务器回复他们并对他们进行杀毒,滥用协议设计缺陷。“

通过这样做,该公司能够阻止恶意软件的运行,并将恶意代码从超过85万台受感染的计算机上移除。

法国警方网络部门负责人Jean-Dominique Nollet 表示,恶意软件运营商产生了数百万欧元的加密货币。

远程关闭恶意软件僵尸网络是一项罕见的成就 – 但难以实施。

几年前,美国政府撤销了第41条规则,现在允许法官在其管辖范围之外发布搜查和扣押令。许多人认为此举是联邦调查局努力进行远程黑客行动而不受法官管辖权的地方阻碍。批评人士认为,如果一位友好的法官在单一手令上侵入无数的计算机,那将是一个危险的先例。

从那时起,修订后的规则被用于拆除至少一个主要的恶意软件操作,即所谓的Joanap僵尸网络,这被认为与为朝鲜政府工作的黑客有关。

推荐关注

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室