法国警方破获僵尸网络服务器 利用其缺陷开启自毁程序

作者:   深圳市网安计算机安全检测技术有限公司 2019/09/02 09:58:06 245次阅读 国际
文章来源:https://www.toutiao.com/a6731174017346044423/

        捷克安全公司 AVAST 日前追踪到某个重点感染拉丁美洲的后门程序,该后门程序组成庞大的僵尸网络进行挖矿。

        追踪过程中该公司发现僵尸网络部分服务器位于法国境内,于是 AVAST 将其消息通报给法国执法机构进行处理。

        通常情况下执法机构发现此类属于黑客的服务器都会进行捣毁,不过这次有惊喜所以僵尸网络服务器还未被摧毁。

法国警方破获僵尸网络服务器 利用其缺陷开启自毁程序

后门程序主要用来挖掘门罗币:

        据分析此后门程序通过网络渠道感染大量计算机后,会立即远程加载挖矿模块然后利用用户的计算机挖掘门罗币。

        这款后门程序其实功能还挺丰富可以用来远程控制受害者计算机,或者访问用户的文件以及开启摄像头进行监控。

        传播方式上则主要利用蠕虫传播并借助被感染的计算机继续向其他计算机感染,如果未及时安装补丁就会被感染。

        但背后的攻击者目的只是尽可能的感染更多计算机然后利用硬件资源进行挖矿,感染数量越多其挖矿收益也越高。

        感染重点区域主要是拉丁美洲的使用西班牙语国家,例如墨西哥、委内瑞拉、阿根廷以及厄瓜多尔感染情况严重。

法国警方破获僵尸网络服务器 利用其缺陷开启自毁程序

追踪过程中发现惊喜:

        有意思的是法国警方控制其远程服务器后并未直接摧毁服务器,因为研究发现这个僵尸网络中存在某个致命缺陷。

        利用这个缺陷只需要向僵尸网络内的所有计算机发布远程命令,这些计算机上的后门程序就会启动自毁无需干预。

        在远程自毁命令下发后几十万台计算机联网后迅速清理该后门程序,这也是法国警方没有直接摧毁服务器的原因。

        当然所谓的自毁命令并不是黑客闲着没事开发的,而是远程控制服务器使用的协议存在设计缺陷能达到自毁目的。

还有个比较搞笑的情况:

        令人哭笑不得是法国警方控制这些远程服务器进行分析时,还发现这些服务器已经感染名为NESHTA的木马病毒。

        目前尚不清楚这个僵尸网络的控制者怎么被其他病毒感染的,不过这次事件里倒是没有上演黑客界的黑吃黑问题。

        按理说NESHTA病毒的开发者要是发现这台服务器是僵尸网络控制服务器,肯定会替换病毒将受害者变成自己的。

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室