美国司法部公布拉撒路(Lazarus)组织控制的僵尸网络细节
日前美国司法部已经公布代号为隐形眼镜蛇的高级黑客组织,该黑客组织通常被科技媒体称作是拉撒路组织。
拉撒路在过去多年里感染全球众多个人电脑并向企业发动攻击,包括索尼影业和孟加拉国家银行被盗案等等。
而拉撒路组织也被认为是北韩支持的高级持续性威胁 (APT) 组织,WannaCry勒索软件也是出自该组织之手。
2009年的Joanap远程访问工具:
美国司法部在调查溯源后发现拉撒路组织最早可以追溯到2009年,当时有个被称为Joanap 的远程访问工具。
该工具又主要以 SMB 文件共享蠕虫方式进行传播感染,该蠕虫会强制打开SMB服务然后继续感染其他电脑。
通过蠕虫方式先感染后再加载 Joanap 远程访问工具,这样拉撒路组织成员可在需要的情况下直接连接访问。
如果想打败他们那么得先加入他们:
以Joanap为主组成的僵尸网络并不使用远程服务器,而是利用 P2P 点对点通信互相作为服务器和传输指令。
因此受感染的所有电脑都会成为控制服务器的一部分,接受黑客控制的同时又会作为节点继续感染其他电脑。
为进行彻底调查美国联邦调查局和空军特别调查办公室获得法院命令,允许这些机构主动加入这个僵尸网络。
通过故意被感染的方式让 Joanap 收集极少数已经脱敏的数据,然后观测这个庞大的僵尸网络是如何运作的。
通过运营商通知受感染的用户:
事实上该病毒早已被杀毒软件拦截,但即便如此还是有很多并未安装杀毒软件的用户会无意中遭到病毒感染。
在这次调查中美国司法部已经收集感染 Joanap 的计算机信息包括IP地址、端口号以及连接的时间戳信息等。
有了这些信息就可以创建僵尸网络的分布图,同时美国司法部将这些信息提供给运营商以便运营商通知用户。
除美国本土外美国司法部还将感染数据分享给与其他国家通知美国以外的受害者、以尽早清除这个僵尸网络。