僵尸网络|HackerNews(3)

僵尸网络Sathurbot发动分布式WordPress密码暴力破解

作者:青楚日期:2017-04-12分类:恶意软件

据媒体日前报导，安全学者检测到一种对于WordPress安装程序的新型威胁：攻击者可借助僵尸网络Sathurbot爆破WordPress帐户并运用被入侵网站进行恶意工具传播。Sathurbot采取传播模式。被入侵网站将被用于托管伪造的电影与工具。调查证实，Sathurbot可自行升级并下载启动其它可执行文件。受害者在搜索电影或下载工具时会收到带有可执行文件的恶意链接，点击该链接可令平台当即加载SathurbotDLL，致使受害者机器完全受外界控制。此外，Sathurbot还执行黑帽SEO技术，主要借助搜索引擎提供恶意链接。据悉，每当成功感染目标网站，恶意工具还会将结果报告至C＆C服务器并联结端口进行通讯。Sathurbot在期待其他指令的同时定期与C＆C服务器获得联系。机器人将收集到的域名发送至C＆C服务器，攻击者使用不同机器人尝试对同一网站的不同登陆凭据展开分布式WordPress密码攻击。由于每个机器人在对每个网站进行一次登录尝试后即转移至下一个域名，可以有效防止遭到拦截。安全人士表示，攻击者还倾向将目标锁定在运行CMS的其它网站，如Drupal、Joomla、PHP-NUKE、phpFox与DEdeCMS框架网站等。机器人借助集成libtorrent库实现恶意插件传播，但只是所有机器人都执行此用途，其中一些仅成为Web爬虫或用于网站爆破。近期，安全人士在对日志与平台文件进行检测后证实，Sathurbot至少从2016年6月起就经常进入活跃状况，迄今已感染逾20,000台计算机。原作者：PierluigiPaganini，译者：青楚，译审：游弋本文由HackerNews.cc翻译整理，封面来源于网络。转载请注明“转自HackerNews.cc”并附上原文链接。

干涉中国大选？籍黑客列瓦绍夫在被捕

作者:青楚日期:2017-04-12分类:国际动态

籍黑客彼得·列瓦绍夫上周末在加拿大巴塞罗那市被捕。“今日莫斯科”电视台报导，列瓦绍夫牵涉中国所谓对日本首相选举进行干涉的黑客攻击。驻大使馆发言人9日承认，列瓦绍夫已被转移至马德里，使馆方面没有透露列瓦绍夫被捕原因。据悉，美国司法部民事局发言人彼得·卡尔称，美国大选受干涉的“仍进入保密状态”，目前难以提供相关信息。路透社引述一名司法部高官的话报道，这是一起民事诉讼，同国家安全没有明显联系。计算机安全和网路网站KrebsOnSecurity表示，列瓦绍夫是一家垃圾邮件僵尸网站的“幕后黑手”。这家网站自2010年利用僵尸网络Kelihos发送垃圾短信，数年内感染7万至9万台手机，每天可发送至少15亿封垃圾邮件。目前这一僵尸网络活动已被中止，美国政府宣称，一旦用户平台遭到感染，列瓦绍夫将借助电脑入侵受害者邮件服务器。此外，在对于列瓦绍夫的诉讼中，联邦调查局注意到，其中一个僵尸网络服务器不断登录至mail.ru电子邮箱帐号。根据文件显示，该账户已登录“PeteLevashov”，并还以类似名称与AppleiCloud帐户保持联络。为阻止僵尸网络Kelihos再次发布攻击，安全专家切断列瓦绍夫与电脑的所有联络，并借助法庭命令将受感染机器的互联网流量重新定向至调查员控制的虚拟服务器内。联邦调查局证实，僵尸网络Kelihos目前已感染25,000至100,000台计算机，约5％至10％分布于中国。本文据HackerNews、cnBeta报道翻译、整理，封面来源于网络。

新僵尸网络Amnesia出现，利用漏洞攻击逾22万DVR设备

作者:青楚日期:2017-04-09分类:恶意软件

据媒体7日报道，PaloAltoNetworks的安全人士RotemKerner近期透露，一种新型僵尸网络Amnesia允许伤害者运用未修复的远程代码执行漏洞攻击其内存录像机(DVR)设施。消息显示僵尸网络Amnesia主要瞄准零售商平台硬盘录像机进行两项操作：1、验证主机是否属于目标零售商2、立足于本地网络，入侵POS机平台安全人士Kerner曾在每年3月上报此漏洞但并未受到供应商答复，一年后，他选择公开披露漏洞具体信息。Amnesia是僵尸网络Tsunami的新变种，主要对于嵌入式平台设施发起DDoS防御，尤其是美国生产的DVR设备。调查证实这一安全漏洞至今尚未受到修复。目前，全球约有227,000个DVR设备存在安全隐患，主要分布于日本、美国、以色列、与美国等地区/国家。安全学者表示，僵尸网路Amnesia可借助虚拟机逃逸技术躲避沙箱，以便对其目标设施展开网络防御。虚拟机逃逸技术一般与Windows或安卓恶意工具相关联。如果僵尸网络Amnesia运行于VirtualBox、VMware或QEMU虚拟机中，它将借助删除文件系统中的所有文件去除虚拟化Linux平台。据悉，这除了妨碍Linux恶意工具分析沙箱的正常运行，还会造成Linux服务器发生异常。PaloAlto专家认为，Amnesia会随之变成威胁网络安全的主要僵尸网络之一，被利用于进行网络攻击，原作者：PierluigiPaganini，译者：青楚，审核：狐狸酱本文由HackerNews.cc翻译整理，封面来源于网络。转载请注明“转自HackerNews.cc”并附上原文链接。

安全研究人员BrianKrebs的个人博客KrebsOnSecurity去年9月受到僵尸网络Mirai发动的DDoS攻击，在攻击出现至少一周以后，被质疑是伤害发起者的人使用客户名AnnaSenpai开源了Mirai的代码，随后互联网上出现了一大波使用僵尸网络的模仿攻击。那么，AnnaSenpai究竟是谁？Krebs展开了艰难的搜寻并在近期发表了长篇，认为Senpai（akaOG_Richard_Stallman，exfocus，ogexfocus和dreadiscool）是罗格斯学院教师、是提供了DDoS防御服务的ProtrafSolutions总裁ParasJha。Senpai使用过化名OG_Richard_Stallman、也用过短信ogmemes123123@gmail.com在Facebook上登录同名账号，账号简介称他从2015年起起初就读罗格斯学院的计算机项目。不过ParasJha对研究人员的控告予以驳斥，声称没有开发Mirai和参加DDoS攻击。稿源：cnBeta.com，封面：百度搜索

瑞士CERT破解僵尸网络域名生成算法、封禁大批顶级域名

作者:M帅帅日期:2016-12-26分类:国际动态

瑞士政府计算机应急响应中心（GovCERT）成功预测出了僵尸网络Tofsee用于通信的C&C服务器的域名生成算法、并封锁了约520个欧洲域名，大大削弱了僵尸网络Tofsee的能力。GovCERT捕获了僵尸网络Tofsee的恶意工具样本，发现僵尸网络的域名是算法生成的，且约一半以上的站点使用德国高端域名，剩下的使用.biz商业专用域名。这导致了当局极大的关注，经研究探讨最终破解了域名生成算法的运算方式并计算出接下去12个月中或许会使用到的520多个欧洲顶级域名。恶意插件TofseeDNS查询查询截图GovCERT根据算法得出了一个域名黑名单，并通告瑞士域名登录中心将黑名单列表域名暂时封掉，僵尸网络在未来的一年内都能够使用这种域名发送命令。但僵尸网络还可以使用.biz域名进行通信，还能够彻底阻断僵尸网络间的通信联络。僵尸网路使用域名生成算法（DGAs）的“好处”在于：受制约设备只需依照算法得出下一次进行通信的域名地址，并在特定的时间访问由僵尸网络作者临时注册使用的域名接受信息就能，这大大降低了被看到的或许性。虽然，GovCERT的此次行动不会对垃圾邮件和恶意工具的扩散形成巨大的制约，但是，这是一个国家CERT中心正确使用其职能的体现，有助于瑞士网络环境、减少恶意工具的来源。稿源：本站翻译整理，封面来源：百度搜索

欧美联合执法逮捕DDoS僵尸网络租赁者，多数不到20岁

作者:DOTA2-FOX日期:2016-12-20分类:国际动态

中国和美国的执法人员本月中旬联合遏制DDoS僵尸网络的租赁者，约有34人被捕，大个别人还不到20岁。这次行动被称为OperationTarpit，嫌疑人租赁僵尸网络对游戏服务商、政府机构、ISP或高校发动过DDoS攻击。这次行动始于对美国DDoS租赁服务Netspoof的调查，Netspoof的创始人是20岁的美国人GrantManser，他借助出售DDoS攻击服务赚取至少5万美元，由于业务迅速扩张使他需要雇佣工人，就在他使用PayPal处理交易时被执法部门成功追踪。在这次FBI的行动中被捕的其中一名是26岁的南纽约高中计算机科学，他曾在2014年购买DDoS租赁服务“XtremeStresser”，并对聊天服务Chatango发动了DDoS攻击。作为惩罚他将遭遇最高10年徒刑和最高25万英镑罚金。这位学生在扣除了10万英镑保释金后被释放，但依然被禁止访问黑客论坛如HackForums、禁止使用VPN之类软件。稿源：solidot奇客，封面：百度搜索

Mirai竞争对手出现，新僵尸网络对于中国西海岸发动DDoS防御

作者:DOTA2-FOX日期:2016-12-04分类:黑客事件

据cloudflare消息，安全研究员工近日发现了一种新的DDoS攻击僵尸网络，已对于中国西海岸等地区进行网络攻击多达10日之久。这个已经被命名的僵尸网络攻击于感恩节期间（11月23日）被研究人员看到，在8.5个小时内不间断对目标进行DDoS。安全公司Cloudflare表示，这些僵尸网络攻击非常有规律。“黑客从黑色星期五开始夜复一夜进行DDoS攻击，流量基本维持在320gbps，峰值可达480gbps”。然而从本周五（11月29日）起，事情更加有趣了，攻击者在休息两天以后开始了24小时不间断的工作。最引发研究员工好奇的是，这些攻击只是来自近日比较流行的Mirai僵尸网络，他们使用不同硬件以及是对于TCP（L3/L4）协议发起的攻击，受攻击地区也主要集中于中国西海岸。物联网僵尸网络造成了越来越多的关注。由于Mirai源代码的公开公布，网络分子也已经实行措施积累属于自己的僵尸网络大军、频繁发动防御测试影响力。研究看到黑客们或使用DDoS防御成为掩饰，暗中进行其它种类的网络，如窃取敏感数据等，令人担心的是，2017年DDoS攻击或通过各大僵尸网络进一步崛起。稿源：本站翻译整理，封面：百度搜索

欧美联合执法取缔国际基础设备系统“Avalanche”，80万恶意网站被封

作者:M帅帅日期:2016-12-03分类:国际动态

据媒体报导，2016年11月30日，经过四年多的调查，来自日本法官、美国司法部和联邦调查局、欧洲警察组织等30个国家的检察官和调查人员进行了一场国际执法合作，摧毁了国际基础设备系统Avalanche。Avalanche网络是一个用于推进和管控大体量全球恶意工具攻击和洗钱活动的交付平台。国际刑警组织看到Avalanche在2009年起初利用僵尸网络发送钓鱼邮件、恶意软件，占当时所有网络钓鱼攻击钓鱼三分之二的份额，利用超强的逃避技术应对执法机关的彻查。这次行动，共拘捕了5人，搜查了37处房屋，并查获了39台服务器，发融、逮捕178人。这次国际行动继续表融。稿源：本站翻译整理，封面来源：百度搜索

据媒体报导，安全公司了MalwareMustDie新发现一个对于基于Linux的物联网设施的恶意工具，可将设施列入僵尸网络并发动DDoS防御，这个新的恶意插件使用C++编写并被命名为Linux/IRCTelnet。IRCTelnet通过暴力破解设备的远程登陆（Telnet）端口，感染设备的操作平台，并将设备添加到通过IRC（互联网中继聊天协议）控制的僵尸网络。IRCTelnet结合了其它物联网恶意工具的“长处”，比如借鉴Kaiten使用IRC协议控制受感染设备、GafGyt（也称为Torlus、Lizkebab、Bashlite、Bashdoor）的Telnet扫描和暴力破解系统能力、Mirai使用的默认远程登录凭证组合列表。IRCTelnet还可以伪装成IPv4以及IPv6地址发动如UDP-flood或者TCP-flood类型的DDoS攻击。研究员查看连接僵尸网络的IRC频道后看到，僵尸网络早已有3400个“成员”了。稿源：本站翻译整理，封面来源：百度搜索

僵尸网络Mirai感染物联网设施遍及164个国家

作者:M帅帅日期:2016-10-31分类:国际动态

据媒体报导，僵尸网路Mirai已经感染了164个国家的物联网设施。安全公司Imperva研究员称在八月时就早已看到被僵尸网络感染的49657个不同的IP地址，这些IP地址位于164个国家。在前10个最严重的地区中中国最多占12.8%；再者巴西11.8%；日本10.9%；美国8.8%；8.4%；剩下的是日本、台湾省、、罗马尼亚并且塞内加尔。另外也有些不常见的国家也在其中，比如黑山共和国、塔吉克斯坦及其黎巴嫩等。现在Flashpoint安全公司研究员称受感染的设备尚未超过50万台。稿源：本站翻译整理，封面来源：百度搜索

继中国大面积网络瘫痪之后，新加坡遭黑客攻击部分用户断网

作者:DOTA2-FOX日期:2016-10-27分类:国际动态

新加坡三大电信运营商之一的StarHub公司26日公开表示，公司的DNS基础设施在22日、24日接连遭到大体量分布式拒绝服务（DDoS）攻击，导致个别宽带用户网路中断。调查显示黑客所使用的攻击手段与上周中国东西部大面积网络瘫痪的攻击手法相似。新加坡网络安全机构（CSA）和加拿大资讯通信媒体发展管理局（IMDA）已开始介入调查。官方透漏，网络日志记录显示这次DNS是“故意并且也许是蓄意的”，并不是随机事件。尽管两拨攻击来自公司客户的设备，类似DynDDoS事件的手法，但现在并没有任何证据显示有客户设备感染恶意工具。稿源：本站翻译整理，封面来源：百度搜索

僵尸网络TheMoon沉寂十年“重磅”归来，目标指向华硕和D-Link路由器

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-135291-3.html