趋势科技僵尸网络攻击结果报告：极善隐藏

Sammi888

趋势科技最近攻陷了一个CARBERP命令与控制(C&C)服务器，此次使用了和我们今年三月攻陷另一个ZeuS C&C服务器的方法非常类似。本文将介绍我们在上述活动中所发现的一些问题。

　　基本上，Carberp的研究结果再一次证明，恶意软件作者擅长隐藏自己，并建立自己专用的秘密通讯管道。而且今天的企业和组织机构对处理这些问题并未做好充足准备，经常会由于未知的僵尸网络而泄漏了自己的私密数据。

　　据称，这个僵尸网络从2010年初就开始部署，但直到去年九月前都没有被人发现。信息安全网站Malware Intelligence在2010年2月的报告中指出，新型CAB文件增加了专门用来盗取数字证书、密钥，以及银行凭据的功能。另一家信息安全网站Trust Defender则在去年10月报导过，Carberp能够通过钩子(“Hooking”)技术将自己挂载到Wininet.dll和USER32.DLL库文件的输出表中，借此控制网络流量。信息安全网站Seculert.com则在今年2月初报导了如何生成专用的RC4密钥，以加密窃取到的资料。

　　不需要提高权限就可运作

　　Carberp C&C服务器具有可扩展功能，可以入侵某一版本Windows上的各种应用程序。首次有记录开始，Carberp僵尸网络通过post/set/first.html传出了所有正在运行的进程信息，随后通过post/set/plugs.html自动安装扩展，并通过post/set/task.html开始运行。

　　Carberp还能在普通用户权限下运行，并不需要更改注册表或系统文件。它利用了文件系统本身的功能将自己隐藏起来。Carberp与多应用程序一样，都会添加一个自动运行的快捷方式，另外还可以伪造网站，记录键盘敲击，并利用不同编码方式创建加密的通讯管道。

　　C&C流量中的发现

　　Carberp僵尸网络的C&C服务器被置换成了只有登录连接但没有提示后续信息交换的服务器。这个假Carberp C&C服务器也没有使用IPv6地址，这可能是一个错误。跟解析IPv4地址的计算机相比，绝大部分的受害者的计算机都会尝试解析IPv6地址。而且后续的HTTP连接也很少。从这一点看来，不完整的C&C信息交换可能导致传送机密信息的通讯被转送到其他地方，透过设定挡掉，或阻止传送。

　　为什么是这些目标？

　　我们联系了特定C&C服务器所监控的Carberp感染计算机的主人，但在缺乏破坏情况的详细信息情况下，C&C服务器选择这些受害人的原因就只能依靠猜想了。

klinxun

呃，基本上是说企业版的事情。

M-新编人生

“不需要提高权限就可运作”这个可以有。。。。。

电脑里装了sql开放了80等端口就有人在那里扫啊扫