Sendspace最近曾被用於存放偷竊來的數據,但並不是通過惡意軟件自動進行的。根據去年底的報告,***會利用Sendspace來處理並上傳偷來的數據。但這是第一次,趨勢科技發現有惡意軟件會將竊取的數據直接上傳到文件存儲與共享網站。
這次的惡意軟件***是從一個被命名爲TROJ_DOFOIL.GE的文件:Fedex_Invoice.exe開始的。爲了感染用戶,該惡意軟件會利用社會工程學陷阱僞造成聯邦快遞貨運通知電子郵件,並將這樣的郵件羣發給大量目標用戶。
一旦運行郵件附件中的文件,就會執行TROJ_DOFOIL.GE並下載TSPY_SPCESEND.A。這個下載器同時還會在被感染的電腦上安裝其他惡意程序,包括來自BestAV網絡聯盟的假防毒軟件變種,以及來自Yamba網絡的FakeHDD變種。
另外,這個***下載器還會與TSPY_SPCESEND.A共用同一套控制服務器。這也強烈地證明開發文件竊取用Sendspace***的犯罪份子,同時也涉足了按成交量計費的地下經濟領域。
TSPY_SPCESEND.A是一個“拿了就走”的***程序,它會在中毒電腦的本地硬盤中尋找微軟Word和Excel文檔。收集到的文件會被壓縮並保存到用戶的臨時文件夾中,此外在壓縮時還會使用隨機生成的密碼進行加密。下圖就是一個收集了文件並將其加密壓縮後的範例:
創建好壓縮文件後,TSPY_SPCESEND.A會將其發送到Sendspace.com:
一旦完成上傳,這個惡意軟體會取得Sendspace的下載鏈接,然後將該鏈接與壓縮時使用的密碼一起發送到控制服務器。
下圖所示的就是存放了所收集到的壓縮文件的Sendspace網頁截圖:
將偷來的數據放到外部文件存儲系統,這種做法成了新的趨勢
惡意軟件利用免費的網絡服務,這並不算新聞。利用公開的網絡空間是犯罪份子存放所盜取數據的一個非常聰明的做法,因爲他們並不需要搭建一臺專門用於保存數據的服務器。
趨勢科技認爲,這種將盜竊來的數據保存到外部網絡,或網絡存儲服務網站的做法很可能會快速成爲犯罪分子的新趨勢。我們已經發現很多案例會將盜取的數據保存到網絡犯罪分子所持有的域名下,而現在,我們也發現合法的“雲服務”也被犯罪分子加以利用,他們可以通過這些服務存儲並提取他們的戰利品。
另外,這也將成爲安全產業和用戶需要面對的一個非常嚴重的問題。文件竊取和外泄不僅會發生在目標***手段中,也有可能發生在大規模的***活動裏。
指揮和控制服務器
當惡意軟件將含有受害者文件的ZIP壓縮文件上傳到sendspace之後,還會將sendspace的下載鏈接與唯一ID、ZIP壓縮文件的密碼,以及受害者的IP地址結合在一起發送個指揮和控制服務器。
在撰寫這篇文章的過程中,趨勢科技發現了至少三個被惡意軟件按照這種方式利用的指揮與控制服務器:{BLOCKED}28889.ru、{BLOCKED}8483825.ru,以及{BLOCKED}372721.ru。這三個域名指向的IP地址是31.184.237.143和31.184.237.142。這些IP地址和其他IP地址都在同一個網段裏,從2011年7月開始就被記錄曾放有惡意文件。這些惡意文件包括各種殭屍網絡的變種,例如BFBot(Palevo)、NgrBot,以及IRCBot。
更深入地發掘這個命令與控制服務器的目錄結構後,我們發現了一個“開放目錄”,裏面包含了一個記錄有下列信息的日誌文件:
有兩個日誌文件似乎保存了相同的數據:log.txt和serialse.txt。唯一不同的是serialse.txt被自動過濾解析,並轉換成新格式(似乎是JSON格式)。日誌文件的內容則是關於受害者和上傳的信息,如下圖所示:
趨勢科技分析了這個日誌文件,發現有18,644個不重複受害者(根據惡意軟件所分配的ID編號),21,929個不重複IP地址(遍佈150多個國家),並有19,695個不重複的sendspace下載鏈接。
國家 |
受害者(根據IP) |
美國 |
13,939 |
英國 |
1,877 |
印度 |
669 |
加拿大 |
619 |
澳大利亞 |
568 |
西班牙 |
391 |
中國 |
304 |
墨西哥 |
292 |
土耳其 |
206 |
哥倫比亞 |
189 |
德國 |
178 |
阿聯酋 |
139 |
南非 |
134 |
法國 |
121 |
荷蘭 |
120 |
有些受害者可以根據IP地址從網絡地址分配機構的WHOIS數據庫中查到。雖然查詢結果大部分都屬於公開的網絡服務供應商的IP地址範圍中(因此受害這可算作是普通的個人或商業用戶),但我們也從中發現一些屬於政府機構、學術機構和大企業網絡的受害者。
趨勢科技和Sendspace所做的努力
趨勢科技在發現該***後聯繫了sendspace,並與他們分享了我們的研究結果,以便協助他們部署適當的解決措施。
在上報該***後,sendspace找到並刪除了他們服務器上超過75,000個壓縮文件。根據上傳記錄顯示,第一個壓縮文件是在2011年12月25日上傳的,這很可能也是這次惡意***活動的開端。
根據sendspace和趨勢科技合作的結果,他們目前正通過一個自動化的工作機制監控他們的服務器,該機制可以每分鐘檢查一次是否有sendspace***上傳壓縮文件,如果發現就將其加以封鎖。這樣做可以有效地將無辜受害者被偷的文件從服務器上刪掉,也就可以防止這次***的幕後黑手下載所盜取的文件。
趨勢科技很高興能協助sendspace解決這樣濫用服務的行爲。儘管如此,類似的***方式肯定還會繼續出現。一如往常地,趨勢科技會通過各種努力,幫助大家將互聯網變成更安全的地方。
@原文出處:Malware Uses Sendspace to Store Stolen Documents
愛趨勢社區--下載/論壇/分享
官方微博—拿禮品/分享最新IT資訊
趨勢科技CEO:陳怡樺EvaChen的微博