全球最大僵尸网络基础设施平台—雪崩Avalanche已造成亿万美金损失
E安全12月5日讯 三十多个国家的警察和检察官上周四突袭大规模跨国网络犯罪行动,搜查欧洲几十个场所,并逮捕5名嫌犯,查获近40台计算机服务器。
警察和检察官调查所谓的“雪崩(Avalanche)网络”长达四年之久。雪崩网络可谓僵尸网络、恶意软件和勒索软件的托管和管理系统。
欧洲刑警组织(Europol)和欧洲检察官组织(Eurojust)发表声明称,通过与互联网服务提供商(ISP)协作,该行动将超过221个犯罪服务器关闭。ISP最初警告180多个国家的50万受害者,其电脑被“雪崩”管理的20多个恶意软件家族感染。
欧洲检察官组织负责人Michèle Coninsx表示,“打击有组织重大网络犯罪上,今天具有重大意义。此次行动强调跨国机构之间的实际和战略重要性。德国、美国当局,欧盟以及国际伙伴,在欧洲检察官组织和欧共体的支持下,全球最大的恶意僵尸网络基础设施—雪崩被捣毁,这是有史以来对僵尸网络基础设施平台最大型的摧毁行动。”
公告指出,德国当局估计被盗银行账号和信用卡诈骗交易给德国带来的经济损失超过600万美元。欧洲刑警组织表示,全球所遭受的损失可能高达亿万美元,由于该平台管理的恶意软件家族量太多,具体损失难以统计。
公告还表示,查获并关停超过80万域名地址,这是有史以来使用URL Sinkholing对抗恶意软件基础设施的最大型行动。当ISP丢弃处理的网络流量时,网址被Sinkhole。Sinkhole技术阻止安装在被感染计算机上的恶意软件获取网络罪犯(设计并安装恶意软件)给出的指示。
在Shadowserver Foundation的帮助下,最终完成Sinkholing。Shadowserver Foundation是由安全专家组成的志愿组织,他们通过超过60个域名注册商分工负责要摧毁的网址。这些注册商维护互联网“电话目录”—完整的域名列表以及相应的数字IP地址。“雪崩”专门设计用来躲避Sinkholing技术和阻止恶意软件和关掉僵尸网络的其它技术。
雪崩犯罪团伙使用“Double Fast Flux” 数学方法(自动频繁改变域名对应的IP地址记录)。在Fast Flux中,该恶意软件召集域名记录—获取DDoS或垃圾邮件攻击的目标指示—每五分钟发生变化。因为根据特殊数学公式“域名生成算法”(Domain Generation Algorithm,DGA)进行改变,该犯罪团伙(以及他们编写的恶意软件)能在另一通信链路端复制这些变化,并保持联系。
在不访问DGA的情况下,当局无法预测这些变化,而是在“追鬼”—逐渐减弱的目标每隔五分钟有效消失。
“Double Fast Flux”会进一步扭曲。每个域名的IP地址每隔五分钟也会发生变化,再次使用特殊的算法。雪崩犯罪团伙能通过新地址自动更新DNS服务器,确保网络或受感染计算机僵尸网络的流量能到达“雪崩”服务器。
除了为僵尸网络增加被感染的计算机用来发送大量垃圾邮件和恶意软件电子邮件,并用假网络流量攻击受害者网站—DDoS攻击—雪崩托管的恶意软件窃取被感染电脑上输入的银行密码和信用卡数据(通过键盘记录软件)。美国国土安全部表示,雪崩管理的勒索软件变种有多个—包括TeslaCrypt和Ransomlock.p。该网络托管的其它恶意软件家族包括臭名昭著的GameOverZeuS、Citadel和PandaBanker。
Shadowserver Foundation在声明中表示,“此次行动规模庞大,涉及复杂的国际协作。”最后阶段由欧洲刑警组织总部的特殊指挥中心控制。
欧洲刑警组织并未透露5名疑犯被抓捕的地点。美国司法部通过简短声明承诺,本周会透露更多细节。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。