沖破谷歌阻斷的Glupteba 惡意軟件,正在卷土重來襲擊全球
據悉,Glupteba 惡意軟件僵尸網絡在將近一年前被谷歌中斷后重新活躍起來,感染了全球范圍內的設備。早在2021年12月,谷歌設法對支持區塊鏈的僵尸網絡造成大規模破壞,確保法院下令控制僵尸網絡的基礎設施,并對兩家俄羅斯運營商提起訴訟。
Nozomi報告說,區塊鏈交易、TLS 證書注冊和逆向工程 Glupteba 樣本顯示了一場新的大規模 Glupteba 活動,該活動于 2022 年 6 月開始,目前仍在進行中。
隱藏在區塊鏈中
Glupteba 是一種支持區塊鏈的模塊化惡意軟件,它會感染 Windows 設備以挖掘加密貨幣、竊取用戶憑據和 cookie,并在 Windows 系統和物聯網設備上部署代理。這些代理后來作為“住宅代理”出售給其他網絡犯罪分子。
該惡意軟件主要通過按安裝付費 (PPI) 網絡和流量分配系統 (TDS) 上的惡意廣告傳播,將安裝程序偽裝成免費軟件、視頻和電影。Glupteba 利用比特幣區塊鏈通過接收更新的命令和控制服務器列表來避免中斷,它應該聯系以執行命令。
僵尸網絡的客戶端使用枚舉比特幣錢包服務器的發現功能檢索 C2 服務器地址,檢索他們的交易,并解析它們以找到 AES 加密地址。
Glupteba多年來一直采用這種策略,這是因為區塊鏈交易無法被刪除,所以 C2 地址刪除工作對僵尸網絡的影響有限。
此外,如果沒有比特幣私鑰,執法部門就無法將有效載荷植入控制器地址,因此像 2021 年初影響 Emotet 的事件那樣突然的僵尸網絡接管或全球停用是不可能的。
唯一的缺點是比特幣區塊鏈是公開的,因此任何人都可以訪問它并審查交易以收集信息。
Glupteba 的回歸
Nozomi 報告說,Glupteba 今天繼續以同樣的方式使用區塊鏈,因此其分析師掃描了整個區塊鏈以挖掘隱藏的 C2 域。這項工作是巨大的,涉及對上傳到 VirusTotal 的 1,500 個 Glupteba 樣本的審查,以提取錢包地址并嘗試使用與惡意軟件相關的密鑰來解密交易有效負載數據。
最后,Nozomi 使用被動 DNS 記錄來尋找 Glupteba 域和主機,并檢查惡意軟件使用的最新 TLS 證書集,以發現有關其基礎設施的更多信息。
Nozomi 的調查確定了四次 Glupteba 活動中使用的 15 個比特幣地址,最近一次活動開始于 2022 年6月,即谷歌中斷六個月后,這項活動仍在進行中。
與過去的行動相比,這次活動使用了更多的比特幣地址,使僵尸網絡更具彈性。
此外,自 2021 年活動以來,用作 C2 服務器的 TOR 隱藏服務的數量增長了十倍,采用了類似的冗余方法。最多產的地址有11筆交易,并與 1,197 個樣本進行了通信,其最后一次活動是在 2022 年 11 月 8 日注冊的。
Nozomi 還報告了最近在2022年11月22日通過被動DNS數據發現的許多 Glupteba 域注冊。
從上面可以看出,Glupteba 僵尸網絡已經卷土重來,跡象表明它比以前更龐大,而且可能更具彈性,設置了大量后備地址來抵御研究人員和執法部門的打擊。
