Endpoint Protection

Symantec與歐洲警政署聯手打擊Ramnit殭屍網絡犯罪集團 

02-25-2015 05:30 AM

ramnit-header-image.jpg

Symantec與業界其他合作夥伴聯同歐洲警政署屬下的歐洲網絡犯罪中心(EC3)聯手出擊,成功攻破犯罪集團Ramnit殭屍網絡(由Symantec檢定為W32.Ramnit.B), 檢獲其伺服器和其他基礎設施。該網絡犯罪集團已運作了至少五年,並在此期間發展成為一個大規模的犯罪集團,感染總數超過320萬部電腦,當中有762部位於香港,並騙取大量無辜的受害者。今年2月25日展開的行動,有望顯著打擊該集團的資源和能力。

當電腦受感染,Ramnit讓犯罪分子以多種途徑欺詐受害者。它能夠讓犯罪分子監視受害者的網絡瀏覽過程並竊取銀行憑證和密碼。另外,它亦能讓犯罪分子盜取網站cookies,以虛假身分冒充受害者,讀取硬碟上的文件,遙距控制受感染電腦以讓犯罪分子輕易竊取資料或下載其它惡意軟件。

威脅日益增加
Ramnit(W32.Ramnit)的初形是蠕蟲病毒,首次出現於2010年,侵略性的自我繁殖策略使其迅速傳播。一旦入侵電腦,該病毒就會找出內置硬碟和外置硬碟上所有的EXE、DLL、HTM和HTML檔案,通過複製體感染這些檔案。

這款惡意軟件隨著時間進化,其控制者把重點從建立轉移到利用殭屍網絡。為了實現多種感染方法,Ramnit的最新版本(W32.Ramnit.B)已經去除了單一檔案感染模式。它參考了Zeus Trojan的幾種不同的模組(Trojan.Zbot,其源代碼於2011年5月洩露),大幅度提高了網絡犯罪能力。這發展使Ramnit殭屍網絡轉變成為一個巨大的網絡犯罪帝國,入侵了高達35萬部電腦,竊取大量​受害人的銀行憑證、密碼、cookies和個人檔案等。

Ramnit的功能
Ramnit是一個全功能的網絡犯罪工具,包括六個標準模組,為攻擊者提供多種方式攻擊受害者。

  1. 間諜模組。最強大的Ramnit功能之一,可以監控受害者的網頁瀏覽紀錄,從而偵測他們登入特定網頁,如網上銀行。它可以附在受害者的瀏覽器上,操縱銀行網站,造成銀行向受害者要求額外個人資料的假像,再利用他們的信用卡資料作欺詐用途。
  2. 採集Cookies。此功能從網頁瀏覽器竊取session cookies,並將它們發送給攻擊者,讓他們可以使用cookies冒充受害者,通過網站上的身份驗證,並騎劫受害者的網上銀行活動。
  3. 硬件掃描。此功能掃描電腦硬件,並從中竊取檔案。它會搜索有可能包含敏感資料,如密碼等的特定文件夾。
  4. 匿名FTP伺服器。通過連接到該伺服器,惡意軟件攻擊者可以遠程存取被感染的電腦,並瀏覽文件系統。他們可以使用伺服器上傳、下載或刪除檔案和執行指令。
  5. 虛擬網絡運算(VNC)模組。這為攻擊者提供另一種遠程存取電腦的方式。
  6. 採集FTP。這功能允許攻擊者收集大量的FTP客戶端的登錄憑證。

持久威脅
Ramnit的製造者已經合併了多種功能,令其難以從感染的電腦上清除。在安裝過程中,它會將複製本植入電腦的內存,並將自身寫入硬碟。由於內存的複製本會監測硬碟,如果偵測到儲於硬碟的複製本已經被刪除或隔離,它會從新在硬碟上複製,保持其感染狀態。

Ramnit散播途徑
現時的攻擊者足智多謀,採用了不同的方法攻擊受害者。近年的一個主要方法為利用託管在受感染網站和社交媒體的組件,亦有公共的FTP伺服器被用於分發惡意軟件。另一個方法則為通過安裝來自未知來源的軟件時捆綁式安裝閒置應用程式。

受害者的位置
Ramnit已經影響到世界各地的受害者,大多數國家都發現了感染案例。近日受影響最嚴重的國家為印度、印尼、越南、孟加拉、美國和菲律賓。

 

3730198_Ramnit_Locations.png

Figure. Ramnit infections by region

在2014年11月,Symantec每日平均堵截大約6千7百個新感染案例,與2014年5月每日8千個案例相比,數字雖然有減少的跡象,但Ramnit殭屍網絡仍然非常活躍。

保護
Symantec提供一個工具可檢查電腦有否受到Ramnit病毒感染,並可協助你清除該病毒。工具可於這個頁面下載。http://www.symantec.com/security_response/writeup.jsp?docid=2015-022415-4725-99

Symantec和Norton產品有以下偵測Ramnit的方式:

防毒軟件


入侵防禦系統

20150227_Ramnit Takedown Infographic (HK)_Final.png

更多有關安全管理員的入侵指示和詳細技術資料,請瀏覽Symantec技術資料:W32.Ramnit analysis

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.