138期报告汇总
安天发布《Tofsee 僵尸网络分析报告》
 
     近日,波兰 CERT 发现一个活跃的僵 尸网络:Tofsee,又名 Gheg。它作为一种 多功能的僵尸网络恶意软件,可用于挖比 特币、发送邮件、窃取凭证、实施 DDoS 攻击等。安天捕风小组发现该僵尸网络发 送的所有电子邮件都是随机的,一些简单 的垃圾邮件过滤器可能无法过滤这些消 息,从而使电脑感染 Tofsee 恶意软件,使 人防不胜防。

     Tofsee 使用基于 TCP 的非标准协议与 被控端通信,建立连接后的第一条消息(大 小总是 200 字节)总是由服务器发送,其 包含的最重要内容是一个随机的 128 字节 的密钥,用于加密进一步的通信,在每个发送或接收字节之后,密钥都会被修改。 第一条消息中还包含一个 C2 IP 地址列表, 但有趣的是,这个列表中可能不包含自身 的 IP,这样的话连接很快就会终止,并从 新接收的列表中选择一个随机服务器作为 通信伙伴。随机服务器能有效的充当指向 实际服务器的“指针”。

     由于 Tofsee 的模块化设计,该僵尸网 络的功能多样,且相对独立,只要获取到 相应的模块,就可以实现相应功能,适应 性极强,通过对其插件进行分析,Tofsee 整体可实现的功能如下:1)可下载、安装 恶意程序,实施非常复杂的 DDoS 攻击, 例如 HTTP Flood 或常规的 SYN Flood。2)可嗅探、替换通讯,监听 0.0.0.0:1080 上的 TCP 连接并提供多线程 SOCKS 代 理服务器,将其他恶意软件从受害者计算 机中移除。3)可检测肉鸡是否被列入垃 圾邮件程序或被拉入黑名单,窃取微软 Outlook 的网络凭证,从 C2 下载邮件模板 后生成并发送垃圾邮件,同时添加恶意程 序附件到邮件上。4)通过社交媒体,如 Facebook,Twitter 与 Skype 等通讯软件进 行传播。5)辅助货币加密挖矿程序进行挖 矿。

     安天捕风小组提醒广大互联网用户安 全、健康上网,安装杀毒、防毒软件并及 时升级系统和修补设备漏洞。