網絡罪犯發動攻擊手法層出不窮,而近年一個較主流的手法,是利用託管在受感染網站,和社交媒體的組件。亦有公共的FTP 伺服器,被用於分發惡意軟件;另一常見手法則為通過潛在、閒置的應用程式。以歐洲警政署(Europol)為首的執法機關,早前便在Symantec、微軟等業界合作夥伴協助下,成功堵截由犯罪集團Ramnit殭屍網絡(W32.Ramnit.B)控制的伺服器,和其他基礎設施。
Ramnit 是個全功能的網絡犯罪工具,其中包括六個標準模組,為攻擊者提供多種攻擊方式。該集團已運作至少5年,並發展成為一個具有規模的犯罪集團,感染總數超過320萬部電腦,當中有762部位於香港。而於上月25日展開的行動,則有望顯著打擊該集團的資源和能力。
小題:Ramnit 的功能
Ramnit網絡犯罪工具含六個標準模組,分別為:
1. 間諜模組:最強大的功能之一,可監控受害者的網頁瀏覽紀錄,從而偵測他們登入特定網頁,如網上銀行等。此模組可以附在受感染電腦的瀏覽器上,操縱其銀行網站,造成銀行向受害者要求額外個人資料的假像,再利用他們的信用卡資料作欺詐用途。
2. 採集Cookie:此功能可從網頁瀏覽器竊取session cookie,並將之發送給攻擊者,讓他們可以使用cookie 冒充受害者,通過網站上的身份驗證,並騎劫受害者的網上銀行活動。
3. 硬件掃描:此功能會掃描電腦硬件,搜索有可能包含敏感資料如密碼等的特定文件夾,並從中竊取文件。
4. 匿名FTP 伺服器:通過連接到該伺服器,惡意軟件攻擊者可以遠程存取被感染的電腦,並瀏覽文件系統。攻擊者更可使用伺服器上傳、下載,或刪除文件和執行指令。
5. 虛擬網絡運算(VNC)模組:可為攻擊者提供另一種遠程存取電腦的方式。
6. 採集FTP:此功能允許攻擊者收集大量的FTP客戶端登錄憑證。
受害者的位置
Ramnit的影響力已經遍及世界各地,大多數國家均已偵測到感染個案。近日受影響最嚴重的國家,包括:印度、印尼、越南、孟加拉、美國和菲律賓等。雖然受感染的電腦數目有減少的跡像,然而專家表示,Ramnit殭屍網絡仍然非常活躍。
Symantec方面,提供了一個可檢查電腦有否受到Ramnit病毒感染的工具,並可協助企業清除病毒。(該工具可於以下連結下載:http://goo.gl/5D4cXa)
沒有留言:
發佈留言