近期,赛门铁克与其他合作伙伴携手欧洲刑警组织下属的欧洲网络犯罪中心(EC3)连手出击,一举破获了Ramnit僵尸网络(赛门铁克检测为W32.Ramnit.B)所持有的服务器和其它基础设施。该网络犯罪团体已经从事犯罪活动超过五年时间,在此期间内发展成为一个大型犯罪集团,通过僵尸网络总共感染超过320万台计算机,欺诈了众多无辜受害者。在此次合作中,赛门铁克提供了重要的全球范围内的威胁数据与分析。基于其全球智能网络(Global Intelligence Network)以及全天不间断服务的(24x7)安全运营中心,赛门铁克拥有全球最完整的实时网络威胁数据资源,在分析、应对网络犯罪中发挥了核心作用。
一旦入侵成功,Ramnit将为犯罪分子提供多种欺诈途径,使其能够远程访问并控制受感染的计算机。它能够监控受害者的网络浏览进程并窃取银行凭证。此外,它还能够窃取网站cookie,使犯罪分子冒充受害者并从硬盘上读取文件,以及为攻击者分配远程访问该计算机的权限,以便泄露窃取信息或下载其它恶意软件。
Ramnit(W32.Ramnit)的初始形态是蠕虫病毒,首次出现于2010年,激进的自繁殖策略使其得到迅速传播。一旦入侵计算机,该病毒就会找出本地硬盘和移动硬盘上所有的EXE、DLL、HTM和HTML文件,通过自身副本感染这些文件。
这款恶意软件随着时间进化,其控制者把重点从构筑僵尸网络转移到利用僵尸网络。为了实现多种感染方法,Ramnit的最新版本(W32.Ramnit.B)已经放弃了文件感染套路。它从Zeus Trojan借鉴了几种不同的模块(Trojan.Zbot,其源代码于2011年5月泄露),大幅度提高了网络犯罪能力。这一发展使Ramnit僵尸网络转变为一个巨大的网络犯罪帝国,入侵了高达35万台计算机,大量窃取了受害人的银行凭证、密码、cookie和个人文件等。
Ramnit特性
现在,Ramnit已经成为一款功能全面的网络犯罪工具,具有6个标准模块,为攻击者提供了多种入侵途径。
1.间谍模块:能够监控受害人的网络浏览活动,并检测他们所访问特定网页的时间(例如,网络银行网站)。它能够将自身植入受害者的浏览器,并操纵银行的网站,使其看起来像是银行在要求受害人提供额外凭证,例如信用卡详细信息等。犯罪分子将利用这些被窃取的数据进行欺诈。
2.cookie提取工具:该特性将从网络浏览器中窃取会话cookie,并发送回攻击者。攻击者将利用这些cookie使其通过网站认证,进而冒充受害者,并劫持网络银行活动。
3.硬盘扫描工具:该功能能够扫描计算机的硬盘,并从中窃取文件。它的配置可以搜索有可能包含密码等敏感信息的特定文件夹。
4.匿名FTP服务器:通过连接到此服务器,该恶意软件能够使攻击者远程访问受入侵的计算机,并浏览其中的文件系统。此外,攻击者能够利用该服务器上传、下载或删除文件并执行命令。
5.虚拟网络计算(VNC)模块:该工具为攻击者提供了另一种获取计算机远程访问权限的途径。
6.FTP捕获工具:该功能使攻击者能够收集大量FTP客户端的登录凭证。
安全防护
赛门铁克已经发布了一款用于检查Ramnit感染的工具,能够使用户从受入侵的计算机上将其清除。下载工具请访问:http://www.symantec.com/security_response/writeup.jsp?docid=2015-022415-4725-99
京公网安备 11010802021500号