通过隐秘恶意软件感染构建的大规模 400,000 个代理僵尸网络

发布时间:2023-08-17 00:28

通过隐秘恶意软件感染构建的大规模 400,000 个代理僵尸网络

研究人员发现了一项大规模活动,该活动向至少 400,000 个 Windows 系统提供了代理服务器应用程序。这些设备在未经用户同意的情况下充当住宅出口节点,并且一家公司正在对通过这些机器运行的代理流量进行收费。

住宅代理对于网络犯罪分子来说很有价值,因为它们可以帮助部署来自新 IP 地址的大规模撞库攻击。它们还有合法目的,例如广告验证、数据抓取、网站测试或增强隐私的重新路由。

一些代理公司出售住宅代理的访问权限,并向同意共享带宽的用户提供金钱奖励。

AT&T Alien Labs 在今天的一份报告中表示,这个拥有 400,000 个节点的代理网络是通过使用传递代理应用程序的恶意负载构建的。

尽管僵尸网络背后的公司声称用户已同意,但研究人员发现代理悄悄地安装在设备上。

AT&T Alien Labs表示:“尽管代理网站声称其退出节点仅来自已被告知并同意使用其设备的用户,但 Alien Labs 有证据表明恶意软件编写者正在受感染的系统中悄悄安装代理。”

研究人员补充说:“此外,由于代理应用程序已签名,因此没有防病毒检测,因此受到安全公司的关注。”

该公司控制了由名为 AdLoad 的恶意负载创建的出口节点,该负载针对 macOS 系统,AT&T上周报告了这一情况。

事实上,两个基于 Go 的二进制文件(适用于 macOS 和 Windows)似乎源自相同的源代码,但是,Windows 代理客户端由于使用有效的数字签名而逃避了防病毒检测。

代理软件感染

感染从隐藏在破解软件和游戏中的加载程序的执行开始,该加载程序会在后台自动下载并安装代理应用程序,无需用户交互。

恶意软件作者使用带有特定参数的 Inno Setup,隐藏安装过程的任何指示符和所有典型的用户提示。

在安装代理客户端期间,恶意软件会发送特定参数,这些参数也会转发到命令和控制(C2)服务器,以便新客户端可以注册并合并到僵尸网络中。

安装和建立持久性
安装和建立持久性 (AT&T)

代理客户端在受感染的系统上建立持久性,方法是创建一个注册表项以在系统启动时激活它,并添加一个计划任务来检查新的客户端更新。

AT&T 报告解释说:“然后,代理不断从机器收集重要信息,以确保最佳性能和响应能力。”

“这包括从进程列表和监控 CPU 到内存利用率,甚至跟踪电池状态的所有内容。”

数据收集在主机上进行
在受感染的设备上进行数据收集 (AT&T)

如何防护

AT&T 建议在“%AppData%\”中查找“Digital Pulse”可执行文件,或在“HKCU\Software\Microsoft\Windows\CurrentVersion\Run\”中查找类似名称的注册表项。如果存在的话,研究人员建议将其移除。

该计划任务的名称是“DigitalPulseUpdateTask”,也应该删除,以消除客户端更新机制重新引入感染的机会。

最后,避免下载盗版软件和运行来自可疑位置的可执行文件,例如点对点网络或免费提供高级软件的网站。

代理软件感染的迹象包括性能和互联网速度下降、意外的网络流量模式、与未知 IP 或域的频繁通信以及系统警报。

客户热线:037125966675

客户服务中心
云产品 服务器 合 作                  Skype