微软在GameOver Zeus僵尸网络清理中协助FBI

日本安全团队 / 2014年6月3日 / 13分钟阅读

本文翻译自Microsoft官方博客《Microsoft helps FBI in GameOver Zeus botnet cleanup》（2014年6月2日发布），作者为微软数字犯罪部门助理总法律顾问Richard Domingues Boscovich。

协同技术行动

在周一针对GameOver Zeus僵尸网络的多国行动后，微软宣布与FBI及行业合作伙伴联合采取技术措施清除恶意软件，防止受感染计算机被用于扩大危害。

GameOver Zeus是Zeus（又称Zbot）恶意软件家族的变种，根据微软安全情报报告，这是极活跃的密码窃取型木马。Dell SecureWorks反威胁单元报告显示，2013年最流行的银行木马正是此类恶意软件。但其影响远超金融业——多数大型企业和公共部门组织均受影响。安全研究人员推测全球有50万至100万台计算机感染，FBI预估GameOver Zeus造成超过1亿美元损失。

通过FBI主导的法律行动和民间主导的技术行动，成功瓦解了与恶意软件生成域名及网络犯罪者注册域名相关联的部分命令与控制（C&C）基础设施。代号"b157"的行动中，FBI查扣了相关注册域名。微软未对此提起民事诉讼（不同于以往操作方式）。与多数集中式C&C服务器的僵尸网络不同，GameOver Zeus采用点对点（P2P）技术分散C&C架构，使其更难以追踪且具备更强恢复能力。

微软的技术角色

微软在技术行动中负责P2P网络分析和清理解决方案开发。通过Shadow Server提供的额外数据，将更多受影响IP地址纳入微软网络威胁情报计划（C-TIP），并与全球计算机应急响应小组（CERT）及互联网服务提供商（ISP）协作，帮助感染者恢复系统控制权。这些措施旨在破坏网络犯罪商业模式，迫使其重建犯罪基础设施。更重要的是，GameOver Zeus受害者将持续收到通知，受感染计算机将被清理以防止未来危害。

此为微软网络犯罪中心成立后的第二次僵尸网络行动。该中心是打击网络犯罪的卓越机构，微软在僵尸网络处置参与度中排名第九。与2013年12月ZeroAccess僵尸网络案例类似，本次行动也是行业伙伴与执法机构协同打击网络犯罪网络的努力，确保全球用户能安全使用计算机设备和服务。

GameOver Zeus技术特性

该恶意软件通过驱动式下载传播：网络犯罪者创建网站，未受保护的访问计算机会自动下载恶意软件。同时通过Cutwail垃圾邮件僵尸网络进行钓鱼攻击，发送伪装成知名企业的欺诈邮件，诱导用户点击链接或附件，最终部署恶意软件。

受感染计算机在用户使用浏览器时自动启动键盘记录，使攻击者能窃取密码和账户信息。数据被发送至C&C服务器存储供犯罪者使用。

除与Zeus类似的键盘记录功能外，GameOver Zeus还具备分布式拒绝服务（DDoS）攻击能力。其变种能伪装成加密EXE文件，绕过防火墙、网页过滤器和网络入侵检测系统。通过"网页注入"技术修改目标网站HTML，插入额外字段诱骗受害者输入超出常规银行凭证的敏感信息。

攻击目标不仅包括金融机构，还涉及百货公司、社交网络和网页邮件服务。最新变种甚至针对求职者和招聘人员，窃取热门招聘网站的登录凭证。与ICE IX、Spy Eye等旧版Zeus不同，GameOver Zeus未在公共领域出售。

持续行动

本案仍在进行中，我们将持续更新信息。请通过Facebook和Twitter关注微软数字犯罪部门获取最新进展。建议使用恶意软件删除工具和防病毒软件紧急清除GameOver Zeus木马，具体方法参见http://support.microsoft.com/gp/cu_sc_virsec_master。

标签：Zeus, 僵尸网络操作