聯邦調查局如何擊敗臭名昭著的 Qakbot 殭屍網路
「Operation Duck Hunt」:一場全球聯合行動的成功
在這週,一場全球執法行動成功瓦解並拆除了臭名昭著的 Qakbot 殭屍網路,被宣稱為美國主導的最大金融和技術瓦解殭屍網路基礎設施的行動。Qakbot 是一種手法狡詐的銀行木馬,以為其他駭客在受害者的網路上提供初始立足點,並提供遞送自己的惡意軟體,如勒索軟體。美國官員表示僅在過去 18 個月,Qakbot 就協助發起了 40 多次勒索軟體攻擊,僅僅這些攻擊就帶來了 5800 萬美元的勒索金。這次運營代號為「Duck Hunt」(鴨槍狩獵)的行動,由 FBI 及其國際合作夥伴在美國和歐洲各地查封了 Qakbot 的基礎設施。美國司法部與 FBI 一起操作這次行動,並宣布從 Qakbot 網路犯罪組織那裡查封了超過 860 萬美元的加密貨幣,這些錢將很快交給受害者。
使用 FBI 製作的解除安裝程式瓦解殭屍網路
在本次行動的宣告中,FBI 稱其進行了一項行動,將殭屍網路的流量重定向到由美國政府控制的伺服器上,從而使聯邦調查局接管了殭屍網路。FBI 使用這項許可權指導全球範圍內被 Qakbot 感染的電腦下載 FBI 製作的解除安裝程式,從而使受害者的計算機從殭屍網路上解鎖,阻止了透過 Qakbot 傳播惡意軟體的進一步安裝。FBI 表示截至 6 月,該行動已經確保了約 700,000 臺感染 Qakbot 的裝置,其中超過 200,000 臺裝置位於美國。FBI 一位高級官員在與記者的通話中表示 Qakbot 的受害者總數可能達到「數百萬」。
Operation Duck Hunt 的執行細節
根據查封令的申請書,FBI 識別並獲得了執行 Qakbot 殭屍網路基礎設施的伺服器,這些伺服器由一家未公開的網路服務提供商提供,其中包括 Qakbot 管理員使用的系統。FBI 還要求法院要求該網路服務提供商祕密製作出伺服器的副本,以防止該提供商通知其客戶 Qakbot 的管理員。FBI 獲得了存取許可權的一部分系統包括 Qakbot 使用的虛擬機堆疊,用於測試其惡意軟體樣本與常用防毒引擎的相容性以及執行以前美國總統命名的釣魚攻擊的伺服器,因為知道政治主題的電子郵件很可能被開啟。FBI 還表示他們能夠識別到包含被 Qakbot 管理員竊取的加密貨幣的 Qakbot 錢包。「透過調查,FBI 已對 Qakbot 殭屍網路的結構和功能獲得全面的理解。根據這些理解,FBI 制定了一套辦法來識別受感染的計算機,從這些計算機收集關於感染情況的訊息,將它們與 Qakbot 殭屍網路分離,阻止 Qakbot 管理員進一步與感染的計算機通訊。」申請書中這樣描述關於瓦解殭屍網路的計劃。
Qakbot 的執行方式
據美國聯邦調查局和美國網路安全域性 CISA 的調查發現,Qakbot 使用了分層系統—被描述為 Tier 1、Tier 2 和 Tier 3—來控制全球範圍內感染計算機上安裝的惡意軟體。FBI 表示 Tier 1 系統是普通的家用或商用計算機,其中許多裝置位於美國,其上安裝有額外的「超節點」模組,使其成為殭屍網路的國際控制基礎設施的一部分。Tier 1 計算機與 Tier 2 系統通訊,後者用於 Proxy 網路流量,以隱藏主要的 Tier 3 指令和控制伺服器,管理員使用該伺服器向其數十萬個感染計算機發出加密指令。憑藉對這些系統的存取許可權和對 Qakbot 的加密金鑰的理解,FBI 表示能夠解密和理解 Qakbot 的加密指令。使用這些加密金鑰,FBI 得以指示這些 Tier 1 的「超節點」計算機進行交換並將超節點模組替換成 FBI 開發的新模組,該模組使用新的加密金鑰,將 Qakbot 管理員隔離在自己的基礎設施之外。
交換、替換、解除安裝
根據網路安全公司 Secureworks 對瓦解行動的分析,FBI 的模組傳遞於美國時間 8 月 25 日下午 7:27 開始。FBI 隨後傳送指令,指示這些 Tier 1 計算機與由 FBI 控制的伺服器進行通訊,而不是與 Qakbot 的 Tier 2 伺服器通訊。在此之後,當一個感染了 Qakbot 的計算機每隔一到四分鐘與伺服器存取時,它將在無縫地與 FBI 的伺服器進行通訊。在將 Qakbot 感染計算機引導至 FBI 的伺服器後,伺服器指示計算機下載一個完全刪除 Qakbot 的解除安裝程式(該解除安裝程式檔案已上傳到由 Google 運營的線上惡意軟體和病毒掃描器 VirusTotal)。這不會刪除或修復 Qakbot 傳送的任何惡意軟體,但將阻止和預防進一步的 Qakbot 感染。FBI 表示他們的伺服器「將是一個死胡同」,他們「不會捕獲受感染計算機的內容」,但會記錄計算機的 IP 位址和相關路由訊息,以便 FBI 能夠聯系 Qakbot 的受害者。檢控官們本週二表示:「Qakbot 的惡意軟體程式碼正被從受害計算機中刪除,防止其進一步造成任何損害。」這是 FBI 近年來進行的最新行動拆除了殭屍網路,與此同時今年,FBI 還擊敗了大規模俄羅斯特工使用的殭屍網路,此殭屍網路用於發動具有強大破壞性的網路攻擊,目的是使網路崩潰。此外 FBI 還於今年早些時候切斷了另一個自 2004 年以來一直存在的俄羅斯殭屍網路的執行。
