暴利营生的背后：揭秘Phorpiex僵尸网络的赚钱体系

不久前，Checkpoint研究团队对Phorpiex僵尸网络的大规模性勒索邮件活动进行了介绍（可参见《肆虐的性勒索邮件，躺赚的Phorpiex botnet幕后人员》一文）。Phorpiex既像蠕虫病毒又像文件病毒，它能通过漏洞利用工具包和其他恶意软件传播，迄今为止已经感染了一百多万台Windows电脑。据Checkpoint的测算，Phorpiex僵尸网络每年产生的犯罪收入约为50万美元。
当然，要维护如此庞大的僵尸网络，需要一个可靠的命令与控制(C&C)基础设施。对于范围较小的恶意软件来说，最常使用的是虚拟专用服务器(VPS)。VPS托管服务可以从合法的公司购买，且许多VPS供应商不对使用者进行身份验证。但是对于Phorpiex僵尸网络而言，公共VPS并不合适，因为每天有超过十万唯一IP地址的数百万请求发送到Phorpiex C&C服务器，每月产生的C&C流量可能超过70 TB，这么大的流量容易引起注意，因此Phorpiex不使用公共VPS托管服务，而是使用一些挂名的专用IP子网。
Phorpiex僵尸网络架构
早期的Phorpiex是使用IRC协议（也称为Trik）操作的僵尸网络，但近期的Phorpiex活动已转换为模块化架构，并且摆脱了IRC通信。
2019年，我们几乎没有看到它的IRC C&C服务器上线过，然而遥测数据表明仍成千上万的主机遭受Trik感染，于是我们设法捕获了一个IRC C&C服务器命令，此命令用于加载另一恶意软件到电脑:
 

图1 –带有解密URL的Trik C＆C通信转储。
我们猜测，这个名为Tldr(可能是“TrikLoader”)的恶意软件目前已经成为Phorpiex僵尸网络的核心部分。Tldr是一个下载程序，它使用HTTP协议与C&C服务器通信。它的主要目的是在机器上加载另一个恶意软件。一些Tldr样本具有计算机蠕虫的功能，可以通过可移动驱动器传播。我们还观察到该恶意软件的变种，其行为类似于感染其他软件的文件病毒。
如果攻击者需要，可以通过加载额外的模块来扩展僵尸网络的功能。下图显示了当前僵尸网络的感染流程和模块化架构。
 

图2 – Phorpiex感染流程和架构。
Tldr、VNC蠕虫和NetBIOS蠕虫等模块的目的都是尽可能散布僵尸网络，散布越广，Phorpiex运营人员获得的利润就越高。
僵尸网络获利方式主要有以下四种：
· 色情短信
· 加密货币劫持
· 加密货币剪切（Crypto-currency clipping）
· 加载其他恶意软件（间谍软件Raccoon、Predator The Thief等）
目前，Phorpiex僵尸网络停了勒索软件的分发服务。自GandCrab勒索软件宣布退役后，Phorpiex完全转向了分发色情垃圾邮件、加载间谍软件的方式。
值得注意的是，几乎所有Trik和Tldr的样本都包含加密货币剪切板功能。所有加密钱包的地址都由数字和字母组成，在不使用其他设备的情况下，传输加密货币的惟一方法是将地址复制到剪贴板，然后将其插入钱包应用程序中相应的字段中。恶意软件会改变剪贴板上的加密钱包地址，钱就会被转移到攻击者的钱包里。这个功能能让恶意软件运营商躺着赚钱，即使当C&C服务器离线时也是如此，到目前为止，他们通过这种方式已经收集了超过17个比特币。
Phorpiex僵尸网络容量评估
Phorpiex机器人会不断扫描从配置中提取的域名和IP地址，即使有效的C＆C服务器做出响应，也会继续查询其他主机。因此，在注册了不同Tldr配置的域之后，我们开始从Phorpiex机器人接收大量连接，这使我们能够对Phorpiex容量做评估。
在过去的两个月中，我们登记了超过1,000,000个独立主机的连接。任意时间平均都有15,000个机器人在线，每天约有100,000个机器人处于活动状态。
 

图3 –每小时在线的机器人数量。
僵尸网络主机主要位于亚洲，其中印度、中国、泰国和巴基斯坦的占比最高，美国、墨西哥和许多非洲国家/地区也有，欧洲则几乎不受僵尸网络的影响。

图4 – Phorpiex僵尸网络的全球位置。
C＆C基础架构
所有Phorpiex模块都使用IP地址和域名的硬编码列表进行C＆C通信。尽管大多数恶意软件都实施了DGA，但使用硬编码域名不会损害Phorpiex机器人的生存能力。我们推测域名列表被用作了一种预防措施，以便在被IP地址访问的C&C服务器丢失的情况下能够重新获得对机器人的控制。域名列表是定期更新的。在2019年监测Phorpiex期间，我们发现了4000多个不同的Tldr样本，拥有大约300个配置和3297个域名和IP地址。
Tldr与Trik IRC机器人使用相同的C＆C服务器：
 

图5 – Phorpiex僵尸网络的全球位置。
当前，僵尸网络为其C＆C服务器使用的最活跃IP是185.176.27.132，其地址来自子网92.63.197.0/24。
我们发现托管大量Phorpiex C＆C服务器的子网92.63.197.0/24在诸如Smoke Loader和Necurs等其他威胁行动中也被观察到，并用于发送网络钓鱼和垃圾邮件以及端口扫描。
关于此子网的另一个值得注意的地方是，它由乌克兰的一位企业家注册：
组织名称：FOP HORBAN VITALII Anatoliyovich
机构类型：OTHER
地址：62408, KHARKIV REGION, ELITE village, SCHOOL str. 25, AP. 26
电子邮件：vetalgorban@protonmail.com

[1] [2] [3]  下一页