Bunitu 木马僵尸网络支持商业 VPN非法盈利

2015-08-05 21:51 作者:电脑问题网 病毒安全 浏览:264次
  电脑问题网-病毒安全 Bunitu 木马僵尸网络支持商业 VPN 基础设施,Bunitu 代理木马已经从恶意传播通过虚拟专用网络为其经营者赚钱。恶意软件,您的机器变成为未经授权的通信的远程端口已进化超越传播通过广告软件和集成在 VPN 服务 VIP72 内。Bunitu 代理是一个木马,暴露出被感染的机器作为远程客户端的代理。一旦安装在一台机器上,恶意软件打开用于远程连接的端口,将其自身注册客户端的数据库 — — 发送有关其地址和打开的端口到控制器的数据 — — 中和在暴露的端口上接受连接。

  这反过来,可以减慢网络的交通或重排感染 IPs 作为非法贩运和活动源 — — 他们从而有可能制定个人在线活动一无所知。恶意软件的一个更广泛的僵尸网络,一部分是缓慢进化和可以捡的防病毒解决方案。虽然代码不是最隐身在存在,分布的恶意软件导致研究者发现 Bunitu 和知名的 VPN 服务之间的连接。

Bunitu 木马僵尸网络支持商业 VPN非法盈利

  在一篇博客文章中? 我姑,高级安全研究员 Malwarebytes 说分析师在公司 — — 与广告欺诈公司 Sentrant — — 最近一直在探索的 Bunitu 分布。恶意软件以前发现的恶意宣传运动,并且成为了一部分的有效载荷是中微子和垂钓者开发工具包。然而,最近的僵尸网络请求不涉及广告欺诈;相反,虚拟专用网络 (VPN) 是被用于掩盖 Bunitu 的轨道。该研究团队说:

  “我们相信 Bunitu 僵尸网络的运营商卖访问给感染的代理机器人作为一种方式来赚钱的僵尸网络。人们使用某些 VPN 服务提供商来保护他们的隐私都完全没有意识到的是后端使用受感染的计算机犯罪基础设施世界各地。”

  在该公司的研究中,VIP72 浮出水面。VIP72 是一种廉价的 VPN 服务,师爷"Hidemyass,袜子 Vip72,纯 VPN,VPS 美国软件假 IP [地址的] 将帮助您有效的网络赚钱."然而,根据 Malwarebytes,VPN 也是"很大程度参与 Bunitu 僵尸网络及其代理服务器"。为验证这一理论,公司开发了它自己的 Bunitu 蜜罐和反向工程的命令和控制 (C & C) 协议之前开发一个脚本,模仿代理注册请求,记录请求 Url。注册后的蜜罐,Malwarebytes 发现许多人所收到的请求来自 VIP72。

Malwarebytes
Malwarebytes

  团队与 VIP72 探讨为什么已经连接到代理服务器的客户端访问的第二个代理注册帐户和发现 Malwarebytes 蜜罐被列为可用出口 IP 地址。虽然这不是证明 VIP72 知情的情况下使用 Bunitu 僵尸网络代理和可能有只是扫描 web 开放代理,不需要身份验证,系统中的一个 bug 保持最初注册,主机代理服务器的 IP 地址,即使代理服务器移动到一个新的地址。为了证明 VIP72 使用 Bunitu 代理作为退出点,团队注册到另一个,单独的蜜罐 IP 地址 — — 从一个蜜罐 IP Bunitu 代理和主机代理仍被列入与原来的 IP。

  研究结果也表明,僵尸网络分销商不同机器感染了 Bunitu 的位置。在美国和加拿大,VPN 提供商是 VIP72,但在欧洲交通的特点是完全不同的这表明另一种未知的 VPN 提供程序是参与。"我们的假设是僵尸网络由中介人向各供应商转售机器人池。然后,机器人分配给特定 VPN 网络根据其地理位置,"该公司指出。Malwarebytes 希望这种分析,虽然只完成了一部分,将鼓励执法和其他保安公司感兴趣,并最终降低僵尸网络的大小。

晒数码

热门排行

最高点击 最高回复 最新
回到顶部