11月29日,一个由美国联邦调查局(FBI)、德国吕讷堡中央刑事调查监察局、欧洲刑警组织下属的欧洲网络犯罪中心(EC3)、联合网络犯罪行动特别工作组(J-CAT)、欧洲检察官组织(Eurojust)和私营部门(Private Sector)组成的国际执法联盟宣布,现存时间最长的恶意软件家族之一 ——仙女座(Andromeda,也被称为Gamarue或Wauchos)被彻底铲除。
参与行动的私营部门包括影子服务器基金会(Shadowserver Foundation)、微软、安全公司ESET、域名注册机构(RoLR)、互联网名称与数字地址分配机构(ICANN)及相关域名注册机构、夫琅和费通信研究所(Fraunhofer Institute for Communication)、信息处理和人机工程学研究所(FKIE)和德国联邦信息安全办公室(BSI)以及来自澳大利亚、奥地利、白俄罗斯、比利时、加拿大、芬兰、法国、意大利、黑山、荷兰、波兰、新加坡、西班牙、英国和中国台湾的执法部门代表。
受Andromeda感染的计算机被用于构建一个规模超大的僵尸网络。它是一个模块化的僵尸网络,由受感染的Windows计算机组成,首次被发现是在2011年年底。
据微软称,Andromeda僵尸网络的目标是分发其他恶意软件家族,用以执行大规模全球恶意软件攻击。调查发现,Andromeda至少和80个恶意软件家族之间存在关联,例如ZeuS、Torpig和Fareit。
作为一个模块化僵尸网络,Andromeda只是一个装载程序,它的主要作用是在执行过程中从C&C服务器下载模块和更新。加载程序具有反VM和反调试功能,它将自动注入可信任的进程,隐藏然后删除原始的僵尸程序。在与C&C服务器通信之间,僵尸程序长时间休眠(从几天到几个月不等),这使得执法人员很难获得受感染计算机与C&C服务器之间的网络流量信息。
美国联邦调查局联合微软在2015年开始对Andromeda进行调查,根据调查结果显示,Andromeda通过垃圾电子邮件或漏洞利用工具在过去的六个月期间,平均每个月都会感染超过100多万台计算机。
在此次国际执法联盟的联合执法行动中,用于传播和控制Andromeda的7台C&C服务器以及1500多个网络域名被拿下。执法联盟随即对这些域名进行了渗透,并获取到一些令人心惊的数据。
据微软称,在48小时内就有来自至少223个国家的约200多万个唯一IP地址被捕获。换句话说,只需两天时间就会新增约200多万个Andromeda受害者。
这是至关重要的,7台C&C服务器管理着460多个更小型的Andromeda僵尸网络。这种分散的结构也是执法当局迟迟不能彻底铲除Andromeda僵尸网络的主要原因之一,因为这种结构使得某一台服务器很容易成为“漏网之鱼”,而这样一台服务器足以让Andromeda僵尸网络卷土重来。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。