揭秘假钱骡案与URLZone木马网络

　　在对URLZone恶意软件/僵尸进行跟踪分析的时间，安全研究人员偶然发现了一种新的犯罪方式，网络犯罪分子利用钱骡中的隐藏信息来转移从网络银行中窃取的资金。

　　URLZone是一张包含了约6000台遭劫持计算机的僵尸网络，主要针对的是西欧地区的计算机用户，目的是从用户的网络银行帐户中窃取资金。它从每个被入侵的帐户中窃取4000到15000美元，并对银行网站上显示的提取数额进行修改，以防止用户发现。

　　如果这还不足以引人注目的话，来自RSA犯罪行动研究实验室的研究人员进一步发现，现在黑客可以利用钱骡产生虚假数据来阻止用户向金融机构和执法机构提供正确信息。

　　RSA犯罪行动研究实验室的主管艾维·拉夫表示，URLZone集团刚意识到自己被安全人员发现和监控，因此，已经开始采取积极措施，防止其骡子帐户被曝光。

　　拉夫解释道：

　　查询骡子帐户的一种办法就是利用木马感染一台计算机，并开始交易，这时间，欺诈者就可以看到木马通过骡子帐户与命令和控制服务器(C&C)进行联系。为了试图挫败反诈骗安全研究人员(如我们)意图找到真正的骡子帐户的努力，欺诈者使用了创建“假骡子”的方法。欺诈者会对研究人员使用的计算机是否属于“合法”的URLzone僵尸感染的机器的一部分进行检查。如果计算机被认为是“外部”的，换句话说，就是犯罪分子不知道这台机器，他们就会将假骡子帐户提供给研究者所用的计算机。这是他们防止真正的骡子暴露的方法。

　　为了完成这一操作，犯罪分子在URLZone上添加了一段特殊的服务器端代码，阻止对集团所属真正骡子帐户的查询。这段代码显示的不是URLZone集团真正骡子帐户的资料，取而代之的是其它不属于该集团的骡子帐户的信息。这段代码显然是URLZone最独特的标志，说明了该犯罪集团活动相当的谨慎。

　　拉夫说“假骡子”模式可以确保该木马程序的实际骡子帐户不暴露，并在随后被封锁。

　　拉夫解释说，对钱骡帐户信息的锁定带来的变化导致一个高度有组织的盗窃计划显现了出来，他们凭借人为的浏览器攻击来利用钱骡窃取网络银行帐户中的资金。

　　他说，攻击中使用的木马现在有能力确认计算机是否在查询来自命令和控制服务器的钱骡信息，确认它是否属于被感染的僵尸网络。

　　“如果是一台未知计算机访问命令和控制服务器的话，将获得从超过400个(还在增加中)非骡子帐户列表中的一个，以便欺骗试图确认它们的行动，”拉夫说。

　　为了确认一台机器是否属于其“合法”感染计算机僵尸网络的一部分，URLZone将执行一长串的各种测试。举例来说，其中的一项测试(如下图所示)就是对木马标识或由URLZone分配给每台受感染计算机的独特识别码进行检查。如果标识是无效的，命令和控制服务器将通过伪装生成功能提供非骡子帐户的信息。

　　“当研究人员试图从被感染的计算机上追查真正的骡子帐户时，URLZone可以识别机器是不是属于真正僵尸网络的一部分，然后调用GenerateFalseDrop函数，”拉夫解释说。每次调用该函数，它就会从一大堆帐户列表中返回一个非骡子帐户的信息。

　　在生成非骡子帐户欺骗执法人员的时间，该木马显示的实际上是真正的银行帐户，是URLZone受害者在系统被感染的时间进行的合法交易的细节。

　　这些帐户交易信息是木马根据不同的标准筛选出现的，以确定他们是否可以加入假骡子帐户列表中。只要计算机感染了木马，受害者继续进行网络交易的话，URLZone就可以通过中间人攻击伪造交易细节，越来越多的信息会被加入假骡子帐户列表中。

　　有关URLZone的更多信息，请参阅Finjan安全提供的调查报告(pdf格式)。