黑客分享之拆解僵尸網(wǎng)絡(luò)SpyEye控制臺(tái)
之前有些討論SpyEye的博客,報(bào)道和技術(shù)白皮書均已發(fā)表,但尚未真正談到其界面和犯罪份子如何利用SpyEye。
實(shí)際的界面共分為2個(gè)元件。第一個(gè)元件是叫做CN 1的前端界面,或稱主要存取控制。這是僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet操控者可用來(lái)與其操控的傀儡僵尸互動(dòng)的界面。這個(gè)界面顯示出與受感染系統(tǒng)相關(guān)的統(tǒng)計(jì)數(shù)據(jù)。
第二個(gè)界面比較像是后臺(tái),名叫SYN 1,或是Formgrabber表單存取控制。這個(gè)界面實(shí)際是在搜集及l(fā)og編錄數(shù)據(jù)資料。此界面還可讓傀儡僵尸操控者就所搜集到的數(shù)據(jù)資料進(jìn)行查詢,及利用界面檢視偷盜得的資料。本篇文章是重點(diǎn)關(guān)注CN 1這個(gè)元件,以及這個(gè)元件如何使用。
圖1、SpyEye主要界面
上圖的屏幕畫面中,你可看到每個(gè)人現(xiàn)在都認(rèn)得出的主要界面。頁(yè)面有“黑入全世界!”的標(biāo)識(shí),顯示出目前有多少僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet在線,以及僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet網(wǎng)絡(luò)中目前共有多少傀儡僵尸。在這個(gè)畫面中你可看到有2千3百92個(gè)傀儡僵尸在線,總數(shù)略超過(guò)1萬(wàn)8千。從本例可看出傀儡僵尸網(wǎng)絡(luò)的規(guī)模相當(dāng)大。除此之外,也可在畫面左手邊看到服務(wù)器的日期。
圖2、SpyEye控制臺(tái)
左上方的第一個(gè)功能鍵標(biāo)識(shí)為“Create Task for Billing制作收款工作”。這個(gè)功能鍵,再加上billinghammer外掛程序(位在Plug-ins功能鍵內(nèi)),讓僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet操控者對(duì)從特定網(wǎng)站收取來(lái)的信用卡進(jìn)行請(qǐng)款。如此一來(lái),操控者可直接從偷盜來(lái)的資料取得金錢利益。Brian Kreb在他的博客中有著更多billinghammer外掛程序細(xì)節(jié)的報(bào)道,有興趣者可關(guān)注其本人推特。
圖3、傀儡僵尸列表屏幕畫面
接下來(lái)是Bots Monitoring僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet監(jiān)控鍵。在這個(gè)鍵之下會(huì)看到每個(gè)國(guó)家有多少受感染的傀儡僵尸列表,以及有多少傀儡僵尸在使用哪個(gè)版本的SpyEye,和每天增加多少數(shù)量的傀儡僵尸。上圖的屏幕畫面中沒(méi)有列出國(guó)家的原因,是因?yàn)樵诟翴P的地理信息時(shí)產(chǎn)生錯(cuò)誤的結(jié)果。多數(shù)的傀儡僵尸使用的10244版的SpyEye,此刻最近版已被更新至10265版。幕后的操控者平均每日可感染約1千5百名使用者,并將被感染者加入僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet網(wǎng)絡(luò)中。
圖4、統(tǒng)計(jì)數(shù)據(jù)屏幕畫面
上圖的屏幕畫面出現(xiàn)在按壓Full Statistic完整統(tǒng)計(jì)數(shù)據(jù)功能鍵后。如所示,多數(shù)受感染的機(jī)器使用Windows XP操作系統(tǒng)。不過(guò)要特別注意的是,Windows 7也被包括在此圖表中。圖表同時(shí)也顯示總數(shù)中大約百分之80的受感染使用者,是以管理者優(yōu)先權(quán)登錄進(jìn)來(lái)的 。
圖5、下載網(wǎng)站屏幕畫面#p#
控制臺(tái)上的下一個(gè)功能鍵是Create Task for Loader搭載器工作制作鍵。這個(gè)功能鍵用來(lái)指示傀儡僵尸到特定的網(wǎng)站(產(chǎn)生點(diǎn)擊以增加廣告利潤(rùn)),或下載更多惡意軟件。
圖6、更新傀儡僵尸操控臺(tái)之屏幕畫面
Update Bot傀儡僵尸的更新鍵執(zhí)行的任務(wù)一如其名。此鍵是由網(wǎng)絡(luò)犯罪份子用來(lái)上傳設(shè)定文件及更新SpyEye二位元文件,供旗下的傀儡僵尸下載使用。當(dāng)操控者需要改變傀儡僵尸們的連結(jié)或更新版本時(shí),就會(huì)使用到此鍵。
圖7、檢測(cè)功能屏幕畫面
Virtest檢測(cè)功能鍵非常特出,我覺(jué)得這個(gè)功能很有意思。Virtest是一個(gè)位在東歐的網(wǎng)站,登錄進(jìn)入的使用者可掃瞄二位元文件和入侵套組,以測(cè)試是否受到防毒軟件的防毒引擎的偵測(cè)。這是個(gè)付費(fèi)服務(wù),使用者通常需要對(duì)每次的掃瞄付費(fèi)。
SpyEye將這個(gè)網(wǎng)站的使用者加入其工具組中。當(dāng)使用者利用Update 僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet更新鍵上傳更新過(guò)的兩位元文件時(shí),文件夾的連接就會(huì)于此展示。傀儡僵尸操控者只需點(diǎn)擊Submit送出,更新過(guò)的文件案就會(huì)傳送到Virtest,讓操控者知道該文件案是否經(jīng)常受到偵測(cè)。
圖8、設(shè)定控制臺(tái)屏幕畫面
這是Setting設(shè)定功能鍵的屏幕畫面。從這里可看到多數(shù)在CN 1控制臺(tái)中運(yùn)作功能的設(shè)定。注意這個(gè)鍵旁的Virtest檢測(cè)功能鍵是用來(lái)登入Virtest的區(qū)塊。此處也有FTB和Socks 5的backconnect后臺(tái)連結(jié)。這些可讓傀儡僵尸操控者制作出與傀儡僵尸們的反向連結(jié),以進(jìn)行更多不同的工作。
不同的傀儡僵尸愈發(fā)精良,SpyEye當(dāng)然不例外。我們很快會(huì)發(fā)步本系列的下篇,講述SYN 1如何運(yùn)作,并以屏幕畫面展示除了信用卡和銀行交易憑證外,還有哪些資料會(huì)被偷盜。
【編輯推薦】
