Simda在玩捉迷藏:手段愈加成熟
非官方中文译文•安天技术公益翻译组译注
| | Simda's Hide and Seek: Grown-up Games | | | | | | | | | | | | | | | | • 本译文译者为安天实验室工程师,本文系出自个人兴趣在业余时间所译,本文原文来自互联网的公共方式,译者力图忠于所获得之电子版本进行翻译,但受翻译水平和技术水平所限,不能完全保证译文完全与原文含义一致,同时对所获得原文是否存在臆造、或者是否与其原始版本一致未进行可靠性验证和评价。 • 本译文对应原文所有观点亦不受本译文中任何打字、排版、印刷或翻译错误的影响。译者与安天实验室不对译文及原文中包含或引用的信息的真实性、准确性、可靠性、或完整性提供任何明示或暗示的保证。译者与安天实验室亦对原文和译文的任何内容不承担任何责任。翻译本文的行为不代表译者和安天实验室对原文立场持有任何立场和态度。 • 译者与安天实验室均与原作者与原始发布者没有联系,亦未获得相关的版权授权,鉴于译者及安天实验室出于学习参考之目的翻译本文,而无出版、发售译文等任何商业利益意图,因此亦不对任何可能因此导致的版权问题承担责任。 • 本文为安天内部参考文献,主要用于安天实验室内部进行外语和技术学习使用,亦向中国大陆境内的网络安全领域的研究人士进行有限分享。望尊重译者的劳动和意愿,不得以任何方式修改本译文。译者和安天实验室并未授权任何人士和第三方二次分享本译文,因此第三方对本译文的全部或者部分所做的分享、传播、报道、张贴行为,及所带来的后果与译者和安天实验室无关。本译文亦不得用于任何商业目的,基于上述问题产生的法律责任,译者与安天实验室一律不予承担。 |
|
|
|
|
|
Simda在玩捉迷藏:手段愈加成熟 Vitaly Kamluk 2015年4月13日 2015年4月9日,卡巴斯基实验室参与了由国际刑事警察组织全球创新中心协调的Simda僵尸网络追缉行动。此案例的调查活动起初是由微软发起的,接着其参与者的范围得到了进一步扩大,包括趋势科技、网络防御机构、荷兰国家高科技罪案组(NHTCU)、联邦调查局、卢森堡PoliceGrand-Ducale Section Nouvelles Technologies和俄罗斯内政部网络犯罪“K”部门(由位于莫斯科的国际刑警组织国家中心局支持)。
这次行动剿灭了分别位于荷兰、美国、卢森堡、波兰和俄罗斯的14台C&C服务器。初步分析被剿的服务器日志,我们发现了被Simda僵尸网络感染的190个国家的列表。
由沃尔特·迪斯尼制片公司出品的Simba这一角色,与Simda僵尸网络无关
Simda是一种用于网络犯罪的、神秘的僵尸网络,正如潜在有害的恶意软件的传播。该僵尸网络的神秘之处在于,尽管它每天都攻击大量的主机,但它很少被卡巴斯基安全网络(KSN)发现。在一定程度上,这是由于它能够检测仿真、安全工具和虚拟机。它有许多方法来检测研究沙箱环境,为了欺骗研究人员,它会消耗所有的CPU资源,或者通知该僵尸网络的主人研究网络的外部IP地址。另一个原因是服务器端多态性及该僵尸木马有限的寿命。
Simda通过多个会重新导向至漏洞包的被感染的网站传播。该僵尸木马使用硬编码IP地址向主人汇报执行进程的各个不同阶段。它从自身的更新服务器下载并运行附加组件,并修改系统主机文件。己的更新服务器上运行更多的组件,并且可以修改系统hosts文件。后者是一个相当有趣的技术,尽管乍一看它会让人产生迷惑。 通常恶意软件编写者修改主机文件是为了干扰搜索引擎,或是将某些安全软件网站列入黑名单,但Simda僵尸木马对google-analytics.com和connect.facebook.net添加了意料之外的指向恶意IP地址的记录。
卡巴斯基实验室将检测到的Simda 僵尸木马命名为Backdoor.Win32.Simda,它已影响了全球几十万个受害者。
也许有人会问,这是为什么?我们不知道,但我们认为,答案与Simba的核心目的有关:传播其他恶意软件。这种犯罪模式开辟了专属恶意软件传播的可能性。这意味着,只有客户的恶意软件已被安装在受感染的机器上,才能保证该客户其他恶意软件的传播。当Simda解读来自C&C服务器的回复时,它可以通过阻止该僵尸木马在下次重启后运行,立即自行退出。这种失活与系统主机文件的修改一致。退出前,Simda用自带的新主机文件取代原始主机文件。
现在,好奇的人也许会问:Simda是如何运行的?那些域名已不再生成搜索结果,但是Simda之前感染的机器也会不定期向恶意服务器发送HTTP请求,即使已安装了其支持的专属的第三方恶意软件。 要记住,这些机器最初是被一个未打补丁的软件漏洞包所感染的。随着时间的推移,第三方恶意软件很可能被删除,但粗心的用户可能永远不会去升级易受攻击的软件。 如果所有这些主机回头又去访问恶意服务器,并请求像java脚本文件这样的网络资源,犯罪分子可以使用相同的漏洞再次感染机器,并再一次将他们出售给“专属”原始客户。这再次印证了:即使是坏蛋也不能相信坏蛋。
在本次调查中,微软与各执法机构完成了瓮中捉鳖的进程,卡巴斯基实验室也很积极地为此次追剿行动做了准备。包括对恶意软件的技术分析、收集感染统计资料、就僵尸网络追剿策略提出建议及向我们的国际刑警组织伙伴咨询等准备工作。
卡巴斯基实验室将检测到的Simda僵尸木马命名为Backdoor.Win32.Simda,并且,基于KSN统计资料和我们的合作伙伴的遥测技术,我们估算此木马已影响了全球几十万个受害者。 Simda可以按需自动生成,这一点也被编辑链接次数命令的缺失证实。如下,是大约70个随机Simda样本的一小部分生成的图标:
UTC时区中的样本链接次数
链接次数的增加可能与多数位于UTC-9至UTC-5时区(包括美国)的Simda受害者的活动有关。
由于此次追剿行动及合作伙伴之间的数据分享,我们已经生成了一个用户可以检查其IP是否已与Simda C&C 服务器相连的页面。如果你怀疑你的计算机被攻击了,你可以使用我们的免费或试用解决方案之一来扫描你的整个硬盘驱动器,或者安装卡巴斯基互联网安全软件以进行长期保护。
卡巴斯基实验室的产品检测到数以万计的Simda变型及许多在此次Simda活动期间传播的不同的第三方恶意软件。
参考文献
国际刑警组织新闻发布 微软发布的Simda博客 |