这篇文章中共由两部分组成,作者分别是Raj Samani、Christiaan Beek和Shane Shook。

想要传播恶意软件?最有效的方法就是使用一个僵尸网络,也就是受感染的系统中的网络。从我们十多年前第一次遇到僵尸网络开始，它的目标几乎就没有变化过。我们常说打击网络犯罪是一个猫捉老鼠的游戏,率先创新的一方能扭转局势，但随即又被另一方迎头赶上。僵尸网络的发展也不例外。

除了常见的那种给家用电脑发送垃圾邮件的僵尸网络,我们还发现一些僵尸网络将目标瞄准了企业，它们窃取海量的数据以支持某些有利可图的活动。攻击者使用偷来的凭证，并通过现场观看(或互动)受害者包含机密信息的系统来进行那些活动。这些步骤允许攻击者获得受感染组织的内部视图，即使他实际上并不是内部人员。

在这个由两部分组成的系列中,我们将首先观察僵尸网络的演变,而第二部分将显示这个新的操作模式是怎样被积极使用的。

僵尸网络演化

最初的僵尸网络被设计用于在犯罪活动中争取尽可能多的节点。

传统僵尸网络注重入侵和数据盗窃，并执行以下活动:

      ·      远程控制系统。
            ·      中断/拒绝服务。
            ·      个人信息盗窃(单位/个人信用/银行)。
            随着时间的推移,僵尸网络开始支持其他服务:
            ·    出售窃取的信息。
            ·    随需应变的定位和访问企业的系统配置。
            ·    在系统中安装第三方恶意软件

现在僵尸网络提供的管理服务包括:
·    匿名的通信路由。
·    对已订阅网络/计算机的访问管理。
·    服务台服务:包含24/7技术支持。
·    支付服务(电子资金转移或“加密”货币事务)。
·    为“黑暗网络”中的产品和服务提供市场。

这些僵尸网络背后的操纵者——“僵尸主控机”,通过将使用权租赁给别人，进行一种更大的集体活动,并获取个人利益。

英特尔安全最近发表了McAfee实验室2016年威胁预测,其中包括对未来五年网络安全市场及其参与者的预测。在那篇文章中提到：我们不期望网络犯罪成为一个含有供应商、市场、服务提供者(“网络犯罪服务”)、融资交易系统和与增殖相关的商业模式的成熟的产业。

然而,这种转变已经成为僵尸网络的主要产品, 现在僵尸主控机允许用户请求、查看和使用受保护的敏感信息。随着客户需求的变化,僵尸网络服务也在不断发展。这些服务通常使用比特币进行支付。

僵尸网络随着经济上的成功和声望的增长变得更有条理。从僵尸主控机决定服务转变为用户决定产品和服务,这就形成了一种顾客导向的产业。用户各有不同,但他们的目的通常反映在选取的现代僵尸网络恶意软件的类型中，这些类型包括:

个人信息窃取程序通常针对消费者,它通过垃圾邮件或网络钓鱼进行活动,寻找凭证和其他个人身份信息,以进行个人金融信贷、银行和交易盗窃。

企业信息窃取程序针对企业雇员或官员,通常通过社会工程技术进行网络钓鱼，目标是个人或业务功能，从而进行人力资源信息盗窃和金融欺诈。

市场信息窃取程序通过有针对性的网络钓鱼，或先进的营销技术,如“waterholing”进行传播,它会感染特定行业读者经常光顾的网站内的广告, 或通过社交媒体的介绍在人们之间创建可信任的链接。这些通常针对上市公司的企业人员、律师、审计师、金融服务机构的员工和相关的媒体服务。信息窃取程序被用于盗窃受保护的敏感市场信息,并用于内幕交易。

恶意软件的使用是很常见的,不同的只是它们的目标、被雇佣来获取不同类型的信息的指令,以及它们的控制网站。定义犯罪的类型不再是通过它们所使用的工具,而是活动的证据。证据只存在于三个地方: 存储窃取来的信息和对用户进行访问的控制服务器、受害者受到欺诈的金融或交易账户、可以用于评估被滥用的历史的受害者的电脑。

让我们来看一些例子。

个人信息窃取程序:这个工具将恶意软件注入浏览器进程，并收集消费者的银行金融或证券交易凭证。例如Dyre这样的现代恶意软件允许僵尸网络运营商或用户使用受感染的计算机登录到消费者的银行网站。现在的信息窃取程序甚至可以通过屏幕截图或其他技术打破两因素身份验证。

企业信息窃取程序:这种方法不仅会使用与个人信息窃取程序类似的方法获取凭证,还能促进对公司网络的后门访问。它会自动收集受破坏计算机的系统信息、用户凭证和权限,并能获取公司的网络信息。僵尸主控机会登记这些信息,同时进行更多对企业计算机或网络的侦察和利用。它会通常安装额外的RAT来对这个组织进行持续的访问,或者简单地向有意者出售他们获得的某些公司计算机的访问权限。

贡献者

我们要感谢参与这项研究的人们,包括恶意软件操作团队的成员,恶意软件样本数据库团队，Foundstone事件反应小组,以及我们这项研究的合著者Shane博士。