一个隐藏着的僵尸巨兽——Ponmocup僵尸网络

安全
Ponmocup 是世界上最成功、最古老、最大型的僵尸网络。而人们一直低估了这个未知的威胁。目前,它已经感染了1500万个设备,通过掠夺银行账户窃取了数百万美金。

研究人员称,恶意黑客已经编写了25个插件,制造了4000个变种,绝对的庞然大物。

Ponmocup 是世界上最成功、最古老、最大型的僵尸网络。而人们一直低估了这个未知的威胁。目前,它已经感染了1500万个设备,通过掠夺银行账户窃取了数百万美金。

由八名Fox IT研究人员组成的小组在研究结果中称,Ponmocup 僵尸网络在2011年的高峰时期控制了240万设备,而现在它控制的设备数大约为此峰值的一半。

马丁·范丹齐格(Maarten van Dantzig)是该研究的第一作者,他在上周召开的 僵尸网络大会(BotConf)上发布了论文《Ponmocup:暗影中的巨人(Ponmocup: A giant hiding in the shadows)》。

该论文的其他参与者还有:丹尼·海普纳、弗兰克·鲁伊斯、约拿·科里金斯、胡云峥、埃里克·德容、克里金·德米克、伦纳特·哈斯玛。论文中称,2006年首次发现的该恶意软件特别注重隐匿,其编写者可能是俄罗斯人,或已从中获利数百万美金。

“同其它网络相比,Ponmocup 是目前最大的活跃僵尸网络;它存在了九年,也是历史上最长的。然而,Ponmocup 很少引起注意,因为其操作者特别注意隐藏自己。”

“我们很难将 Ponmocup 僵尸网络窃取的钱财精确量化,但据估算,经过多年积累,该金额目前应该已经达到百万美元。”

[[158641]]

 

“首先,他们的基础设施是复杂、分布式、广泛的,服务器都有专门的任务。”

范丹齐格说,攻击者维护着的基础设施相当全面,他们对其进行质量测试,并进行升级,以提升健壮性和隐匿性。该系统能够迅速处理风险。

黑客对 Windows 系统的接触十分深入,可能有10年左右的恶意软件开发经验。

目前为止,研究小组已经发现了25种插件和高达4000个变种,这表明 Ponmocup 僵尸网络正不断发展。

该恶意软件还搭载了反分析技术,它能够启发式检查网络环境、基于主机的分析工具、调试器、虚拟机环境。它还会巧妙地向分析师抛出假载荷。

其中一个载荷会向运行进程中注入一个显然是可执行的程序,它会将自己伪装成随处可见的广告注入器。

相关报告下载链接:

https://foxitsecurity.files.wordpress.com/2015/12/foxit-whitepaper_ponmocup_1_1.pdf

责任编辑:蓝雨泪 来源: 安全牛
相关推荐

2013-04-12 09:24:26

2013-03-06 17:27:36

僵尸网络

2022-02-12 10:47:58

Rootkit僵尸网络攻击

2013-01-15 11:42:50

2022-11-30 10:59:20

2019-11-12 13:43:05

云计算IaaS技术

2013-11-04 17:02:40

Windows 8.1隐藏功能

2018-02-24 10:29:59

2012-11-19 17:15:21

2011-04-14 10:25:01

2021-04-27 11:15:51

Java 8ConcurrentHBUG

2021-11-01 12:13:53

Linux僵尸进程

2021-10-10 15:01:09

Go 源码Github

2009-09-24 17:29:36

2021-02-04 08:00:00

僵尸网络网络安全信息安全

2021-01-21 10:50:03

僵尸网络FreakOutLinux 系统

2013-04-07 17:18:16

僵尸网络变色龙

2017-02-09 13:23:46

2011-09-02 17:59:01

2021-03-02 10:20:31

僵尸网络攻击加密货币
点赞
收藏

51CTO技术栈公众号