0x01 Koobface僵尸网络简介
关于Koobface的分析报道最早出现于2008年8月,它活跃于2009-2010年期间,被认为是第一个利用社交网络平台进行传播且获得成功的僵尸网络。其攻击目标是拥有诸如Facebook、Twitter、Myspace等社交网站账号的个人用户,目标系统为Windows系列操作系统,其名字由来是攻击目标之一、著名社交网站Facebook的颠倒。受害用户主要分布在北美和欧洲地区。攻击者通过Koobface可以实现广告推送、恶意软件付费安装、用户信息窃取,进而牟取暴利(2009年获利约200万美元)。
0x02 感染方式
Koobface通过社工的方式进行传播。具体地,Koobface利用社交网络平台发布恶意视频链接,诱骗用户点击并安装恶意插件从而感染成为僵尸主机。如图1所示,首先,攻击者会事先注册若干blogspot / bit.ly账号,同时准备好一批被劫持和篡改的网站页面。准备完毕后, Koobface会利用已感染用户的社交账号进行恶意链接的发布和推送(第一阶段),该链接指向攻击者准备的恶意blogspot / bit.ly链接(第二阶段),当用户点击访问社交账号上发布的链接时首先会跳转到blogspot / bit.ly中的恶意链接,接着blogspot / bit.ly的链接将会把请求重定向到被劫持和篡改的网页(第三阶段),通过页面的JS脚本再一次将用户请求重定向到最终目的地—-恶意视频页面(第四阶段)。
图1 Koobface感染流程
该页面风格模仿Youtube或 Facebook video,如果用户点击观看视频时,网页会弹框提示用户缺少视频播放插件,需要下载安装(图2),该插件包含恶意可执行程序(Downloader),一旦安装之后将会感染受害主机并进行功能模块的下载。
图2 恶意视频页面
0x03 功能特性
感染之后,Koobface程序会根据本机cookie判断用户所使用的社交网站类型(如Facebook、Twitter、MySpace等),如果没有找到相关信息会进行自删除;否则Koobface程序会与C&C服务器通信,请求下载对应传播模块以及其他功能模块。Koobface主要功能包括以下几个方面:
利用社交网站传播
Koobface程序利用本机中社交网站认证cookie进行登录,在其个人主页上发布带有恶意链接的状态,诱骗其好友点击进而安装插件进行感染。同时,该模块也会通过私信的方式主动向该用户的好友推送恶意链接(图3)。
图3 被感染的账户发布带有恶意链接的状态
本机DNS劫持
Koobface将用户访问的正常网站解析到钓鱼网站,同时屏蔽杀毒软件公司的域名。
信息窃取
收集受害主机的系统信息、用户登录证书(FTP、Email、IM等)、受害者社交账号信息(地理位置、生日、爱好等)以及信用卡卡号,Base64编码后回传至C&C服务器(图4)。
图4 信息回传数据
劫持用户搜索
当用户点击搜索引擎返回的查询结果时,对原合法网站的请求将会被重定向到恶意网站,同时,如图5所示,这些恶意网站将会向用户推送安装虚假杀毒软件(假装警告用户机器中毒,需要安装杀毒软件)。
图5 诱骗用户安装虚假杀毒软件
Web Server
受害主机充当Koobface的C&C服务器,也可能用于搭建传播所需的恶意视频网站。
CAPTCHA BREAKER
为了实现blogspot / bit.ly账号的自动化注册(服务于感染),Koobface需要识别CAPTCHA验证码,因此,控制者设计该功能模块让用户“帮忙”识别验证码。如下图所示,当受害主机接受到破解CAPTCHA任务后将会弹出倒计时对话框,提示用户在剩余时间内输入图片中的验证码,否则将自动关机。然而,即使是时间结束,受害主机也不会执行重启,而且Koobface程序并不会对验证码的正确性进行校验,只是对字符个数进行简单判别后便回传给了C&C服务器。
图6 CAPTCHA BREAKER界面
除了以上功能之外,Koobface还具备PPI(pay-per-install)模式安装恶意软件、点击欺诈、广告推送、更新等功能。
0x04 小结
尽管多家安全公司、社交网站都在极力封杀Koobface,但幕后的操纵者们仍在通过通信内容加密、添加IP黑名单、添加中间代理、变换社交账号及域名等手段与安全研究人员展开着持久的对抗,继续利用Koobface疯狂牟取不义之财。也许有一天Koobface终将会消亡,但在当今Web2.0发展的背景下,它利用社交媒体传播、通过PPI、PPC(pay-per-click)业务盈利的特性注定会成为僵尸网络发展史上的一个烙印。