本文是有關網絡犯罪套件（如漏洞攻擊工具組）如何讓不具專業技術的犯罪者也能建立僵尸網絡/傀儡網絡 Botnet并且發動惡意攻擊的討論文。

全球一些由數十萬臺個人電腦組成的大型僵尸網絡/傀儡網絡 Botnet受到了相當大的關注。但是，一些較小的 僵尸網絡/傀儡網絡 Botnet 網絡卻沒有引起太大的關心。現在，網絡犯罪地下經濟體系隨處可見一些用來建立和維護 Bot 網絡并收取利潤的工具和服務，只要花點錢就能買到。這些 DIY 式網絡自助犯罪工具套件，讓一些不具專業技術的歹徒也能架設并經營自己的僵尸網絡/傀儡網絡 Botnet。

網絡上可找到的工具包括：專門利用訪問者系統的軟件漏洞而入侵其系統的漏洞攻擊套件，以及可將訪問者重新導至其他網站或至別處下載惡意程序的流量重導系統。

精密的惡意程序散播技巧

這類工具可讓僵尸網絡/傀儡網絡 Botnet經營者彼此合作，或者參與聯合行動。有了這類工具，現在，惡意程序的作者就能付費請僵尸網絡/傀儡網絡 Botnet網絡經營者代為將惡意程序安裝至受害者的電腦上。一個僵尸網絡/傀儡網絡 Botnet可用來散播各式各樣的惡意程序，例如：SpyEye、ZeuS 或假殺毒軟件。

網絡犯罪者需要吸引訪問者連上他們的惡意網站，才能在訪問者的電腦上安裝惡意程序。為了吸引訪問者流量，僵尸網絡/傀儡網絡 Botnet經營者通常會在地下聊天室或地下論壇上購買合法網站的 FTP 帳號密碼。此外，一旦 僵尸網絡/傀儡網絡 Botnet上線運作之后，其幕后經營者就能在已入侵的系統上直接竊取一些 FTP 帳號密碼。偷到的帳號密碼，歹徒還可以用來入侵其他合法的網站，然后再將合法網站的使用者重導至自己所控制的服務器。

本文將分析一臺惡意程序服務器的運作方式，此服務器用來接收已入侵網站重導過來的流量。訪問者會被重導至一個漏洞攻擊套件。如果訪問者的系統被入侵成功，訪問者的電腦就會連線至一個程序植入工具 （loader），該工具再將各式各樣的惡意程序傳送至訪問者的電腦 （視訪問者所在地理區域而定）。只要有心犯罪，這些工具和方法在網絡犯罪地下經濟體系當中都隨手可得。

Phoenix漏洞攻擊套件

在這個案例中，三個惡意的iframe會被植入合法的網站當中。如此會將瀏覽該網站的訪問者導向一個Bot網絡經營者的外部網站。其中一個iframe會偷偷將訪問者導向專門散播Phoenix漏洞攻擊套件 的服務器。

這個漏洞攻擊套件會判斷訪問者的操作系統和瀏覽器版本，然后再攻擊特定的漏洞以便在在訪問者電腦上執行惡意程序。此攻擊涵蓋了一些熱門套裝軟件的漏洞，例如：Adobe Flash Player、Adobe Reader以及Java。

 #p#

全部加起來，這個 Phoenix漏洞攻擊套件總共獲得了17,628 位訪問者，而且成功入侵了其中850 位（4.82%）的電腦。這項套件發現，最容易攻擊成功的是含有漏洞的Java 版本。在攻擊成功之后，該套件就會在訪問者的電腦上植入一個惡意的執行文件 （也就是我們偵測到的TROJ_RENOS.NRT），讓電腦連線至另一群完全不同的幕后操控服務器。

與其他套件連結

這個Phoenix漏洞攻擊套件的訪問者幾乎都是來自于英國。顯然，該Bot網絡的幕后經營者可能是向其他網絡犯罪者購買了來自英國的流量，或者是入侵了某個英國的熱門網站。

同一部服務器上也還有其他 Phoenix 漏洞攻擊套件復本。在所有案例中 （不限于前述討論的案例），該套件所植入的程序都會連線至同一服務器上的好幾個DLoader復本。例如，該套件的其他復本共獲得了5,871位訪問者。這些訪問者主要來自德國和俄羅斯。其中有360位（6.13%）是因為Java 漏洞攻擊而被入侵成功 （再次成為榜首）。

 #p#

這些植入的惡意程序會強迫使用者電腦連上同一服務器上的多份DLoader復本。這些Phoenix漏洞攻擊套件的復本，就是趨勢科技所偵測到的TROJ_INJECT.XSI、TROJ_DLOADER.TEP、TROJ_BAMITAL.AJ 和 TROJ_OBFUS.CJ。

在下面我們將進一步說明DLoader工具組，以及該工具組如何提供一種隨安裝次數付費（Pay-Per-Install）的Bot網絡經營模式。

DLoader和Bot網絡經營模式

惡意程序散播通常是一種合作關系或聯合的行動。Bot網絡賺錢的方式之一，就是所謂的隨安裝次數付費（Pay-Per-Install，簡稱PPI）模式，也就是只要在一臺受害電腦上安裝一份惡意程序，就可以賺取一筆費用。

DLoader是一種網頁式系統管理工具，可讓Bot網絡經營者管理旗下的Bot電腦所要安裝的惡意程序。每完成一次安裝，Bot網絡的經營者就可以向合作夥伴收取一筆費用。

DLoader的價碼在地下論壇大約是250美元。雖然它的功能主要是安裝其他惡意程序，但它也可能伴隨一些額外的模組一起販售，例如：專門竊取 FTP 帳號密碼的FTP GRABBER以及專門盜取熱門線上撲克網站帳號密碼的POKER ACCOUNT GRABBER。這些要價大約是200美元。FTP帳號竊取工具之所以重要，是因為它可讓Bot網絡經營者在合法網站當中植入惡意程序碼，進而將瀏覽該網站的使用者導向漏洞攻擊套件。如此，Bot網絡經營者就能擁有源源不絕的受害者來源。

依國別而不同植入不同惡意程序

我們分析了前一篇文章所述的服務器上各個DLoader復本。其中的一個復本掌管了7,957臺Bot電腦，主要分布在越南和印尼。另一個復本掌管了10,726臺Bot電腦，主要分布在德國和俄羅斯。該服務器上的DLoader復本包含了各式各樣的惡意程序，它們會視Bot電腦所在國家而提供不同的程序。

#p#

例如，德國的Bot電腦都會去下載某一個SpyEye變種（TSPY_SPYEYE.ATC）。而美國、加拿大、英國、澳洲和法國的受害電腦則會下載另一個不同的SpyEye變種（TROJ_SPYEYES.JAN）。

至于俄羅斯的受害者則是去下載一個 Meredrop 變種 （TROJ_MEREDROP.TG）。預設下載的程序都是各種不同的假殺毒產品。

為了讓讀者體會一下該服務器所提供的惡意程序種類之多，特別在此列出一些我們已偵測到的惡意程序名稱：

TROJ_FRAUDL.SMMZ

TROJ_HILOTI.SMAE

TSPY_SPYEYE.ATC

TSPY_ZBOT.PB

TROJ_FAKEAV.SMT1

TROJ_SPYEYES.JAN

TROJ_SPYEYES.AE

TROJ_MEREDROP.TG

TROJ_FAKEAV.SMDF

TSPY_SPYEYE.TRF

TROJ_KRYPTK.XFX

雖然小型 Bot 網絡通常不受人注意，但它們依然是惡意程序的重要命脈。其經營者不僅是惡意程序工具組的消費者，也是大型 Bot 網絡經營者的受害者名單來源，同時更是假殺毒軟件的散播者。惡意程序工具組的公開流傳，讓有心從事網絡犯罪但不具專業能力的歹徒也能進行漏洞攻擊、散播惡意程序，這些原本都是他們不可能辦到的事。

【編輯推薦】

1. 網絡犯罪愈演愈烈 誰該為此承擔責任?
2. 回顧網絡犯罪十年歷程
3. 公司主管要知道的七個網絡犯罪真相
4. 與僵尸網絡等無形的威脅做斗爭的11種方法

【責任編輯：陳博文 TEL：（010）68476606】