黑客分享之拆解僵尸网络SpyEye控制台

　　之前有些讨论SpyEye的博客，报道和技术白皮书均已发表，但尚未真正谈到其界面和犯罪份子如何利用SpyEye。

　　实际的界面共分为2个元件。第一个元件是叫做CN 1的前端界面，或称主要存取控制。这是僵尸网络/傀儡网络 Botnet操控者可用来与其操控的傀儡僵尸互动的界面。这个界面显示出与受感染系统相关的统计数据。

　　第二个界面比较像是后台，名叫SYN 1，或是Formgrabber表单存取控制。这个界面实际是在搜集及log编录数据资料。此界面还可让傀儡僵尸操控者就所搜集到的数据资料进行查询，及利用界面检视偷盗得的资料。本篇文章是重点关注CN 1这个元件，以及这个元件如何使用。

　　图1、SpyEye主要界面

　　上图的屏幕画面中，你可看到每个人现在都认得出的主要界面。页面有“黑入全世界!”的标识，显示出目前有多少僵尸网络/傀儡网络 Botnet在线，以及僵尸网络/傀儡网络 Botnet网络中目前共有多少傀儡僵尸。在这个画面中你可看到有2千3百92个傀儡僵尸在线，总数略超过1万8千。从本例可看出傀儡僵尸网络的规模相当大。除此之外，也可在画面左手边看到服务器的日期。

　　图2、SpyEye控制台

　　左上方的第一个功能键标识为“Create Task for Billing制作收款工作”。这个功能键，再加上billinghammer外挂程序(位在Plug-ins功能键内)，让僵尸网络/傀儡网络 Botnet操控者对从特定网站收取来的信用卡进行请款。如此一来，操控者可直接从偷盗来的资料取得金钱利益。Brian Kreb在他的博客中有着更多billinghammer外挂程序细节的报道，有兴趣者可关注其本人推特。

　　图3、傀儡僵尸列表屏幕画面

　　接下来是Bots Monitoring僵尸网络/傀儡网络 Botnet监控键。在这个键之下会看到每个国家有多少受感染的傀儡僵尸列表，以及有多少傀儡僵尸在使用哪个版本的SpyEye，和每天增加多少数量的傀儡僵尸。上图的屏幕画面中没有列出国家的原因，是因为在更新IP的地理信息时产生错误的结果。多数的傀儡僵尸使用的10244版的SpyEye，此刻最近版已被更新至10265版。幕后的操控者平均每日可感染约1千5百名使用者，并将被感染者加入僵尸网络/傀儡网络 Botnet网络中。

　　图4、统计数据屏幕画面

　　上图的屏幕画面出现在按压Full Statistic完整统计数据功能键后。如所示，多数受感染的机器使用Windows XP操作系统。不过要特别注意的是，Windows 7也被包括在此图表中。图表同时也显示总数中大约百分之80的受感染使用者，是以管理者优先权登录进来的。

　　图5、下载网站屏幕画面

　　控制台上的下一个功能键是Create Task for Loader搭载器工作制作键。这个功能键用来指示傀儡僵尸到特定的网站(产生点击以增加广告利润)，或下载更多恶意软件。