一个5年工龄恶意广告软件的生存之道

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 本文讲的是一个5年工龄恶意广告软件的生存之道,自2017年初以来,ESET研究人员就一直在追踪调查一个针对俄罗斯和乌克兰的复杂攻击。直到最近,研究人员才发现,原来是Stantinko发起的攻击,经过统计,Stantinko是一个自2012年以来,就秘密活动的大规模的广告软件,攻击的用户超过了50万。
本文讲的是 一个5年工龄恶意广告软件的生存之道

一个5年工龄恶意广告软件的生存之道

前言

自2017年初以来,ESET研究人员就一直在追踪调查一个针对俄罗斯和乌克兰的复杂攻击。直到最近,研究人员才发现,原来是Stantinko发起的攻击,经过统计,Stantinko是一个自2012年以来,就秘密活动的大规模的广告软件,攻击的用户超过了50万。

Stantinko的开发者对其中的大量代码进行了加密,目的就是以防止被安全人员检测到。根据分析,其实自2012年以来,就有人发现Stantinko在运行,不过当时,由于其攻击规模较小,所以并没有引起注意。

为了感染受害者的设备,Stantinko会在用户下载所需的软件时,伪装成要下载的软件,诱导用户。 Stantinko在刚开始安装时,先会向用户友好声明安装时会附带很多安装软件,以分散用户的注意力,同时在后台隐蔽地安装Stantinko的服务。以下视频显示了运行Stantinko时的过程:

Stantinko背后的运营商控制着巨大的僵尸网络,它们主要通过对攻击的用户执行广告注入和诱导用户点击欺诈网页来获利。但是,到了后来, Stantinko安装的恶意Windows服务可以使攻击者在受感染的设备上执行任何操作。比如,研究人员已经发现攻击者可以利用它来发送一个功能齐全的后门,一个在Google上进行大规模搜索的病毒,以及一个在Joomla和WordPress管理员面板上执行暴力攻击的工具,以试图找到更多的潜在受害者进行攻击。

下图显示了从感染开始到最终实现持久性攻击的完整流程图:

一个5年工龄恶意广告软件的生存之道

Stantinko的主要特征

由于Stantinko会尽力避免本身被杀毒软件检测到,所以研究人员很难对其进行逆向工程分析并验证其所表现出的恶意行为。为此,研究人员需要进行多方面的分析才能完整对它进行了解。在分析时,总是涉及到两个组件:一个加载器和一个加密组件。恶意代码会非常隐蔽地驻留在磁盘或Windows注册表中的加密组件中,而且该代码会由正常的可执行文件进行加载和解码,解码会在每次感染后发生。一些组件使用bot标识符,其他组件使用其受害PC的硬盘驱动器的卷序列号。基于非加密组件进行可靠的检测是一项非常困难的任务,因为驻留在磁盘上的组件会在执行之前隐藏其恶意行为。

此外,Stantinko具有强大的互补保护机制。成功攻击后,受害者的设备会安装了两个恶意的Windows服务,这些服务在系统启动时启动。每个服务都有能力重新安装另一个,以防其中一个从系统中删除。因此,要成功卸载此威胁,必须同时删除这两个服务。否则,C&C服务器可以发送尚未检测到或已包含新配置的已删除服务的新版本。

Stantinko的主要功能是安装名为“The Safe Surfing andTeddy Protection”的恶意浏览器扩展。在研究人员分析期间,这两个扩展程序都可在Chrome Web Store上获得。乍一看,它们看起来像是阻止不需要的URL的合法浏览器扩展。但是,一旦被Stantinko注入后,正常的扩展程序会就会具有不同的配置,其中就包含执行点击欺诈和广告注入的攻击。在以下视频中,你可以看到,安装了“The Safe Surfing ”的扩展是如何诱导用户点击Rambler搜索引擎上的链接,对用户被进行重定向。

一个5年工龄恶意广告软件的生存之道

一个5年工龄恶意广告软件的生存之道

 

Stantinko是一个模块化的后门,其组件会嵌入一个加载器,使得它们可以直接在内存中执行由C&C服务器发送的任何Windows可执行文件。此功能可以被用作非常灵活的插件系统,允许操作员在受感染的系统上执行任何操作,下表就是对已知Stantinko插件的描述。

一个5年工龄恶意广告软件的生存之道

Stantinko是如何盈利的

虽然Stantinko的开发人员使用APT广告系列中最常见的方法,但其最终目标是赚钱。首先,点击欺诈是网络犯罪生态系统的主要收入来源。 White Ops公司和美国国家广告商协会(US)进行的研究估计,2017年全球点击欺诈市场将达65亿美元。

第一,如上所述,Stantinko安装了两个浏览器扩展,即The Safe Surfing 和Teddy Protection,它们会注入广告或重定向用户。这样广告客户就要为Stantinko的运营商提供的流量付费。下图是Stantinko进行点击欺诈重定向过程:

一个5年工龄恶意广告软件的生存之道

通过实际验证,研究人员也发现,Stantinko的运营商几乎就是靠广告商在赚钱。在某些情况下,包括上图中的示例,用户在Stantinko弹出的广告后,会直接被重定向到广告主的官网。另一方面,传统的点击欺诈恶意软件依赖于多个广告网络之间的一系列重定向来清除其恶意流量。这表明,Stantinko的运营商不仅可以开发高度隐身的恶意软件,而且还可以滥用传统的广告服务经济而不会被发现。

第二,Stantinko的运营商也试图欺骗Joomla和WordPress网站的管理帐户,这样的攻击依赖于使用一系列凭据的暴力攻击。目的是通过尝试成千上万个不同的凭据来猜测密码,一旦账户被破解,这些帐户可以在地下黑市进行销售。然后,可以用它们来重定向网站访问者,在其他地方利用套件或托管恶意内容。

第三,研究还发现Stantinko如何实施社交网络欺诈, ESET研究人员在分析Linux/Moose白皮书中已经描述了这种类型的欺诈。例如,每1000名Facebook的用户信息价格大约在15美元左右,尽管它们实际上是由僵尸网络控制的假账户产生的。

Stantinko运营商开发了一个可以与Facebook交互的插件,除了常规的功能以外,它还能够创建帐户,比如一个页面或添加一个朋友。为了绕过Facebook的CAPTCHA,它依赖于下图中所示的在线反CAPTCHA服务。另外,Stantinko庞大的僵尸网络也是其盈利的一个优势,因为它允许其运营商在所有被感染的设备之间分发查询。因此,Facebook更难发现这种欺诈行为。

一个5年工龄恶意广告软件的生存之道

总结

Stantinko是一个僵尸网络,主要用于与广告相关的欺诈。在Windows注册表中使用诸如代码加密和存储代码等先进的恶意技术,其在2012年就开始活动,目前已导致大约50万受感染的设备成为僵尸网络。

Stantinko还可以在Chrome网上应用店中发布两个广告注入浏览器扩展程序。其中一个在2015年11月首次在Chrome网上应用店发布。

由于Stantinko并不会执行CPU密集型任务,所以很难被发现。Stantinko之所以近年来如此流行,是因为它为网络攻击者提供了大量的欺诈性收入。此外,全功能后门的存在允许操作员在所有受害设备上进行间谍攻击。




原文发布时间为:2017年7月25日
本文作者:xiaohui
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
安全 测试技术
金山安全报告:二月漏洞频出 网站挂马猖獗
赚足眼球的“猫癣” 一款早在春节之前就已经发出预警的病毒,在大假结束后还是席卷了国内网络,无论称呼“猫癣”还是“犇牛”,被电脑用户们牢牢记住的都是名为usp10.dll的这个文件。 毒霸推出的“系统急救箱”在解决“猫癣”时发挥了很大的作用,好评不断,但在搜捕“猫癣”的过程中,金山毒霸反病毒工程师对病毒黑色产业链内幕的挖掘更加深入,这些内幕让人十分震惊。
1125 0
|
安全 PHP
数据显示社交网站成黑客发动攻击重要渠道
根据Cellopoint Global Anti-spam Center最新的监控数据显示,因为社交网站(SNS, Social Networking Site)的流行,黑客攻击目标从传统的email逐渐转移至此,其中特别热门的Facebook、Plurk、Twitter等网站就成为主要目标;攻击手法则结合木马程序、僵尸网络、社交工程及邮件钓鱼技术,成为安全威胁新趋势。
1238 0
|
安全 Android开发 数据安全/隐私保护
2016年手机恶意软件演变分析报告(一)
本文讲的是2016年手机恶意软件演变分析报告(一),在2016年,卡巴斯基实验室检测到以下内容:
1915 0
|
安全 物联网 定位技术
2016年手机恶意软件演变分析报告(二)
本文讲的是2016年手机恶意软件演变分析报告(二),在2016年,手机恶意安装软件包数量大幅增长,达到8,526,221个——是上一年的三倍。作为比较,从2004年到2013年,我们检测到超过一千万个恶意安装软件包;而在2014年,这个数字是近250万个。
1796 0
|
云安全 安全 Windows
游戏安全资讯精选 2017年 第八期:从“马甲”到“刷金”,盘点网络游戏的攻击和欺诈,微软“9月周二补丁日”发布81个漏洞补丁,系统优化工具CCleaner被植入后门
从“马甲”到“刷金”,盘点网络游戏的攻击和欺诈,微软“9月周二补丁日”发布81个漏洞补丁,系统优化工具CCleaner被植入后门
2126 0