Asprox殭尸网络重生

作者:趋势科技

虽然垃圾邮件 殭尸网络是以发送不受欢迎的广告邮件著称,尤其是那些卖假药的公司,但他们同时也是散播恶意软件不可或缺的一部分。除了发送自己的恶意软件好提高自己殭尸网络的规模,安装其他的恶意软件也让这些幕后黑手们可以通过按次付费安装模式来赚钱。

趋势科技已经研究过恶名昭彰的Asprox垃圾邮件殭尸网络的运作模式。Asprox以发送伪装成来自快递公司(像是FedEx、DHL和美国邮局)的垃圾邮件(SPAM)而著称。虽然Asprox殭尸网络只在过去几年间被偶尔的提到,但其他类似手法的攻击活动,还有利用知名航空公司的假机票诈骗(像是达美航空和美国航空)都受到相当的关注。

这些攻击活动很少跟Asprox殭尸网络相连结。甚至更少看到关于这殭尸网络运作的分析报告。这怎么可能呢?Asprox进行了一些修改让自己变得更有效果:

  • 它使用成套的垃圾邮件(SPAM)模板,透过多种主题和语言去诱骗用户打开恶意附件文件或点入恶意连结。
  • 它采用模块化的框架(利用KULUOZ恶意软件),所以殭尸网络营运商可以在有需要时轻易地添加新功能。同时还用RC4加密以对抗网络层侦测技术。
  • 它拥有多个垃圾邮件(SPAM)邮件模块,其中一个会利用被入侵的合法电子邮件账号来对抗使用信誉评比技术的反垃圾邮件系统。
  • 它会部署扫瞄模块,命令受感染计算机扫描网站漏洞。这是为了要透过被入侵沦陷网站来散播恶意软件,以避免被网页过滤和信誉评比技术侦测。
  • 它会散播数据窃取模块,让它能够取得受害者的FTP、网站和电子邮件账号登录信息。

Asprox殭尸网络主要针对北美使用者,它也会发送德文和西班牙文的垃圾邮件(SPAM)给欧洲使用者。

图一、各地区的Asprox 殭尸网络恶意软件侦测状况

图二:各地区的Asprox 殭尸网络垃圾邮件攻击活动侦测状况

趋势科技的研究显示,就算已经过了一段时间,只要经过修改,这些知名的威胁仍然可以继续有效。此外,它也显示了垃圾邮件Asprox殭尸网络仍然是恶意软件生态系统的重要组成部分,网络犯罪分子会一再寻找新方法和防御方对抗。

趋势科技的全部研究结果都包含在Asprox重生研究报告里,可以在这里下载。

 

本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!


你可能感兴趣的:(Asprox殭尸网络重生)