黑客分享之拆解僵尸網(wǎng)絡(luò)SpyEye控制臺
之前有些討論SpyEye的博客,報道和技術(shù)白皮書均已發(fā)表,但尚未真正談到其界面和犯罪份子如何利用SpyEye。
實(shí)際的界面共分為2個元件。第一個元件是叫做CN 1的前端界面,或稱主要存取控制。這是僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet操控者可用來與其操控的傀儡僵尸互動的界面。這個界面顯示出與受感染系統(tǒng)相關(guān)的統(tǒng)計(jì)數(shù)據(jù)。
第二個界面比較像是后臺,名叫SYN 1,或是Formgrabber表單存取控制。這個界面實(shí)際是在搜集及l(fā)og編錄數(shù)據(jù)資料。此界面還可讓傀儡僵尸操控者就所搜集到的數(shù)據(jù)資料進(jìn)行查詢,及利用界面檢視偷盜得的資料。本篇文章是重點(diǎn)關(guān)注CN 1這個元件,以及這個元件如何使用。
圖1、SpyEye主要界面
上圖的屏幕畫面中,你可看到每個人現(xiàn)在都認(rèn)得出的主要界面。頁面有“黑入全世界!”的標(biāo)識,顯示出目前有多少僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet在線,以及僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet網(wǎng)絡(luò)中目前共有多少傀儡僵尸。在這個畫面中你可看到有2千3百92個傀儡僵尸在線,總數(shù)略超過1萬8千。從本例可看出傀儡僵尸網(wǎng)絡(luò)的規(guī)模相當(dāng)大。除此之外,也可在畫面左手邊看到服務(wù)器的日期。
圖2、SpyEye控制臺
左上方的第一個功能鍵標(biāo)識為“Create Task for Billing制作收款工作”。這個功能鍵,再加上billinghammer外掛程序(位在Plug-ins功能鍵內(nèi)),讓僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet操控者對從特定網(wǎng)站收取來的信用卡進(jìn)行請款。如此一來,操控者可直接從偷盜來的資料取得金錢利益。Brian Kreb在他的博客中有著更多billinghammer外掛程序細(xì)節(jié)的報道,有興趣者可關(guān)注其本人推特。
圖3、傀儡僵尸列表屏幕畫面
接下來是Bots Monitoring僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet監(jiān)控鍵。在這個鍵之下會看到每個國家有多少受感染的傀儡僵尸列表,以及有多少傀儡僵尸在使用哪個版本的SpyEye,和每天增加多少數(shù)量的傀儡僵尸。上圖的屏幕畫面中沒有列出國家的原因,是因?yàn)樵诟翴P的地理信息時產(chǎn)生錯誤的結(jié)果。多數(shù)的傀儡僵尸使用的10244版的SpyEye,此刻最近版已被更新至10265版。幕后的操控者平均每日可感染約1千5百名使用者,并將被感染者加入僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet網(wǎng)絡(luò)中。
圖4、統(tǒng)計(jì)數(shù)據(jù)屏幕畫面
上圖的屏幕畫面出現(xiàn)在按壓Full Statistic完整統(tǒng)計(jì)數(shù)據(jù)功能鍵后。如所示,多數(shù)受感染的機(jī)器使用Windows XP操作系統(tǒng)。不過要特別注意的是,Windows 7也被包括在此圖表中。圖表同時也顯示總數(shù)中大約百分之80的受感染使用者,是以管理者優(yōu)先權(quán)登錄進(jìn)來的 。
圖5、下載網(wǎng)站屏幕畫面#p#
控制臺上的下一個功能鍵是Create Task for Loader搭載器工作制作鍵。這個功能鍵用來指示傀儡僵尸到特定的網(wǎng)站(產(chǎn)生點(diǎn)擊以增加廣告利潤),或下載更多惡意軟件。
圖6、更新傀儡僵尸操控臺之屏幕畫面
Update Bot傀儡僵尸的更新鍵執(zhí)行的任務(wù)一如其名。此鍵是由網(wǎng)絡(luò)犯罪份子用來上傳設(shè)定文件及更新SpyEye二位元文件,供旗下的傀儡僵尸下載使用。當(dāng)操控者需要改變傀儡僵尸們的連結(jié)或更新版本時,就會使用到此鍵。
圖7、檢測功能屏幕畫面
Virtest檢測功能鍵非常特出,我覺得這個功能很有意思。Virtest是一個位在東歐的網(wǎng)站,登錄進(jìn)入的使用者可掃瞄二位元文件和入侵套組,以測試是否受到防毒軟件的防毒引擎的偵測。這是個付費(fèi)服務(wù),使用者通常需要對每次的掃瞄付費(fèi)。
SpyEye將這個網(wǎng)站的使用者加入其工具組中。當(dāng)使用者利用Update 僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet更新鍵上傳更新過的兩位元文件時,文件夾的連接就會于此展示??芙┦倏卣咧恍椟c(diǎn)擊Submit送出,更新過的文件案就會傳送到Virtest,讓操控者知道該文件案是否經(jīng)常受到偵測。
圖8、設(shè)定控制臺屏幕畫面
這是Setting設(shè)定功能鍵的屏幕畫面。從這里可看到多數(shù)在CN 1控制臺中運(yùn)作功能的設(shè)定。注意這個鍵旁的Virtest檢測功能鍵是用來登入Virtest的區(qū)塊。此處也有FTB和Socks 5的backconnect后臺連結(jié)。這些可讓傀儡僵尸操控者制作出與傀儡僵尸們的反向連結(jié),以進(jìn)行更多不同的工作。
不同的傀儡僵尸愈發(fā)精良,SpyEye當(dāng)然不例外。我們很快會發(fā)步本系列的下篇,講述SYN 1如何運(yùn)作,并以屏幕畫面展示除了信用卡和銀行交易憑證外,還有哪些資料會被偷盜。
【編輯推薦】