網路安全公司NetWitness資深顧問Alex Cox日前揭露,分別有2,400家公司,共74,000台電腦遭受到一個Kneber botnet的控制,它的來源為同一來源,但卻是由多種不同的惡意程式來進行感染,形成一個複雜而有效的機制,讓惡意程式可以獲得較高的存活率而不至於被掃蕩一空。
Knebar主要是用一個行之有年的著名工具包-Zeus所組合而成的botnet,工具包中可能有木馬、port scanner等多種攻擊的惡意程式,而在NetWitness的研究中,他們也發現,該種botnet會使用不同的中繼站結構,如果其中一個犯罪網路被關閉,其他的將可以使之重新建立並啟動,透過至少兩種的botnet家族機制,來提供容錯以及備援,這也擊垮了企業對安全所做的努力。
Zeus,被稱之為地下犯罪軟體工具包之王。根據賽門鐵克09年的調查,Zeus主要連結,都是來自一個叫做“Rock Phish”的犯罪集團,目標是全世界的金融機構,該工具包相當受到歡迎且廣泛流傳。在過去的一年裡賽門鐵克偵測到超過15萬台的電腦被Zeus木馬感染,且有7萬多種源自Zeus的變異木馬病毒。(見圖)
根據賽門鐵克去年的報告看來,全世界受到Zeus影響的最多為美國,其次是「其他」地區,第三名則為日本。
資安專家認為這只是攻擊者分佈的問題,台灣的攻擊者多半來自對岸,目前看來應該只是對岸較少使用這類犯罪工具,但或遲或早,台灣都會受到波及。
Cox的報告也提到,從Kneber的伺服器log當中,也發現了一些來自Facebook、Yahoo等的帳號、密碼,甚至還有來自一些銀行,像是花旗銀行、HSBC匯豐銀行、美國富國銀行、PayPal、Citizens Bank等。
圖片來源:賽門鐵克網站提供。