前言
自2017年初以来,ESET研究人员就一直在追踪调查一个针对俄罗斯和乌克兰的复杂攻击。直到最近,研究人员才发现,原来是Stantinko发起的攻击,经过统计,Stantinko是一个自2012年以来,就秘密活动的大规模的广告软件,攻击的用户超过了50万。
Stantinko的开发者对其中的大量代码进行了加密,目的就是以防止被安全人员检测到。根据分析,其实自2012年以来,就有人发现Stantinko在运行,不过当时,由于其攻击规模较小,所以并没有引起注意。
为了感染受害者的设备,Stantinko会在用户下载所需的软件时,伪装成要下载的软件,诱导用户。 Stantinko在刚开始安装时,先会向用户友好声明安装时会附带很多安装软件,以分散用户的注意力,同时在后台隐蔽地安装Stantinko的服务。以下视频显示了运行Stantinko时的过程:
Stantinko背后的运营商控制着巨大的僵尸网络,它们主要通过对攻击的用户执行广告注入和诱导用户点击欺诈网页来获利。但是,到了后来, Stantinko安装的恶意Windows服务可以使攻击者在受感染的设备上执行任何操作。比如,研究人员已经发现攻击者可以利用它来发送一个功能齐全的后门,一个在Google上进行大规模搜索的病毒,以及一个在Joomla和WordPress管理员面板上执行暴力攻击的工具,以试图找到更多的潜在受害者进行攻击。
下图显示了从感染开始到最终实现持久性攻击的完整流程图:
Stantinko的主要特征
由于Stantinko会尽力避免本身被杀毒软件检测到,所以研究人员很难对其进行逆向工程分析并验证其所表现出的恶意行为。为此,研究人员需要进行多方面的分析才能完整对它进行了解。在分析时,总是涉及到两个组件:一个加载器和一个加密组件。恶意代码会非常隐蔽地驻留在磁盘或Windows注册表中的加密组件中,而且该代码会由正常的可执行文件进行加载和解码,解码会在每次感染后发生。一些组件使用bot标识符,其他组件使用其受害PC的硬盘驱动器的卷序列号。基于非加密组件进行可靠的检测是一项非常困难的任务,因为驻留在磁盘上的组件会在执行之前隐藏其恶意行为。
此外,Stantinko具有强大的互补保护机制。成功攻击后,受害者的设备会安装了两个恶意的Windows服务,这些服务在系统启动时启动。每个服务都有能力重新安装另一个,以防其中一个从系统中删除。因此,要成功卸载此威胁,必须同时删除这两个服务。否则,C&C服务器可以发送尚未检测到或已包含新配置的已删除服务的新版本。
Stantinko的主要功能是安装名为“The Safe Surfing andTeddy Protection”的恶意浏览器扩展。在研究人员分析期间,这两个扩展程序都可在Chrome Web Store上获得。乍一看,它们看起来像是阻止不需要的URL的合法浏览器扩展。但是,一旦被Stantinko注入后,正常的扩展程序会就会具有不同的配置,其中就包含执行点击欺诈和广告注入的攻击。在以下视频中,你可以看到,安装了“The Safe Surfing ”的扩展是如何诱导用户点击Rambler搜索引擎上的链接,对用户被进行重定向。
Stantinko是一个模块化的后门,其组件会嵌入一个加载器,使得它们可以直接在内存中执行由C&C服务器发送的任何Windows可执行文件。此功能可以被用作非常灵活的插件系统,允许操作员在受感染的系统上执行任何操作,下表就是对已知Stantinko插件的描述。
Stantinko是如何盈利的?
虽然Stantinko的开发人员使用APT广告系列中最常见的方法,但其最终目标是赚钱。首先,点击欺诈是网络犯罪生态系统的主要收入来源。 White Ops公司和美国国家广告商协会(US)进行的研究估计,2017年全球点击欺诈市场将达65亿美元。
第一,如上所述,Stantinko安装了两个浏览器扩展,即The Safe Surfing 和Teddy Protection,它们会注入广告或重定向用户。这样广告客户就要为Stantinko的运营商提供的流量付费。下图是Stantinko进行点击欺诈重定向过程:
通过实际验证,研究人员也发现,Stantinko的运营商几乎就是靠广告商在赚钱。在某些情况下,包括上图中的示例,用户在Stantinko弹出的广告后,会直接被重定向到广告主的官网。另一方面,传统的点击欺诈恶意软件依赖于多个广告网络之间的一系列重定向来清除其恶意流量。这表明,Stantinko的运营商不仅可以开发高度隐身的恶意软件,而且还可以滥用传统的广告服务经济而不会被发现。
第二,Stantinko的运营商也试图欺骗Joomla和WordPress网站的管理帐户,这样的攻击依赖于使用一系列凭据的暴力攻击。目的是通过尝试成千上万个不同的凭据来猜测密码,一旦账户被破解,这些帐户可以在地下黑市进行销售。然后,可以用它们来重定向网站访问者,在其他地方利用套件或托管恶意内容。
第三,研究还发现Stantinko如何实施社交网络欺诈, ESET研究人员在分析Linux/Moose白皮书中已经描述了这种类型的欺诈。例如,每1000名Facebook的用户信息价格大约在15美元左右,尽管它们实际上是由僵尸网络控制的假账户产生的。
Stantinko运营商开发了一个可以与Facebook交互的插件,除了常规的功能以外,它还能够创建帐户,比如一个页面或添加一个朋友。为了绕过Facebook的CAPTCHA,它依赖于下图中所示的在线反CAPTCHA服务。另外,Stantinko庞大的僵尸网络也是其盈利的一个优势,因为它允许其运营商在所有被感染的设备之间分发查询。因此,Facebook更难发现这种欺诈行为。
总结
Stantinko是一个僵尸网络,主要用于与广告相关的欺诈。在Windows注册表中使用诸如代码加密和存储代码等先进的恶意技术,其在2012年就开始活动,目前已导致大约50万受感染的设备成为僵尸网络。
Stantinko还可以在Chrome网上应用店中发布两个广告注入浏览器扩展程序。其中一个在2015年11月首次在Chrome网上应用店发布。
由于Stantinko并不会执行CPU密集型任务,所以很难被发现。Stantinko之所以近年来如此流行,是因为它为网络攻击者提供了大量的欺诈性收入。此外,全功能后门的存在允许操作员在所有受害设备上进行间谍攻击。
