卡巴斯基实验室对Mac系统出现的Flashfake僵尸网络进行分析

李思瑶

      近日，苹果Mac OS X系统惊现名为Flashback（Flashfake）的僵尸网络，预计该僵尸网络的规模有超过500,000台Mac计算机被感染。卡巴斯基实验室安全专家对该僵尸程序的最新变种Trojan-Downloader.OSX.Flashfake.ab进行了分析。

      分析文章中显示，这一僵尸程序利用受感染的网站进行传播，表面上是一个Java程序，但会伪装成Adobe Flash Player的更新程序。Java程序执行后，会下载和安装僵尸程序的主要组件。其主要组件是一个木马下载器，能够不断连接命令控制服务器（C&C），等待下载和执行新的组件。

      僵尸程序利用域名来定位命令控制服务器，域名采用两种算法生成。第一种算法基于当前的日期，而第二种算法则利用存储在僵尸程序本身的几个变量，并采用RC4加密算法同计算机硬件UUID加密生成。

      卡巴斯基实验室安全专家对第一种域名生成算法进行了逆向工程，所使用的日期为2012年4月6日。从而生成和注册了一个域名——"krymbrjasnof.com"。将该域名注册后，成功接收到来自僵尸计算机的日志请求。由于来自僵尸计算机的请求中都包含各自独有的硬件UUID，所以能够计算目前活动的僵尸计算机数量。根据日志记录，在不到24小时内，连接到该服务器的僵尸计算机数量超过60万台。这些被感染计算机共使用超过62万个外部IP地址。其中超过50%的被感染计算机均位于美国。

活动的Flashfake僵尸计算机地理分布图：

      虽然不能肯定，但也不能否定所有连接到该服务器的被感染计算机全部运行Mac OS X系统。对僵尸计算机所运行操作系统的识别，只能通过其User-Agent HTTP标头id，User-Agent的其他部分则有僵尸程序控制。

      为了求证，卡巴斯基实验室安全专家使用被动操作系统指纹识别技术，对这些僵尸程序的操作系统进行了粗略的估算。其中超过98%的网络数据包似乎都是来自Mac OS X系统的计算机。虽然这一技术基于启发技术，并不完全可靠，但是做数量级的估算还是比较可信的。所以，卡巴斯基实验室安全专家得出结论，目前感染Flashfake僵尸程序的计算机大多都是Mac计算机。下图显示为连接到该服务器的僵尸计算机所运行的操作系统构成情况。