【文章摘要】近日,腾讯安全联合实验室之反病毒实验室旗下的哈勃分析系统,发布了《五月威胁情报态势报告——C&C服务器篇》(以下简称《报告》)。
近日,腾讯安全联合实验室之反病毒实验室旗下的哈勃分析系统,发布了《五月威胁情报态势报告——C&C 服务器篇》(以下简称《报告》)。《报告》显示,五月哈勃分析系统捕获的C&C服务器威胁情报数据总和超过1400万,日均近50万。.com顶级域名仍是大部分木马的首选,在国家顶级域名中,中国的顶级域名.cn占据第一。值得注意的是,美国以超过一半的比例成为C&C服务器数量最多的国家,其次为中国。
(五月威胁情报数据总量图)
C&C服务器数量居首 美国成控制源最大聚集地
《报告》指出,随着恶意木马产业的发展,许多木马摆脱了过去“单打独斗”的作战方式,转向使用网络相互关联,通过指挥大量受到感染的计算机共同行动。这其中,进行指挥的关键节点便是C&C服务器。它一方面可以接收在被控制的电脑上活跃木马传来的信息,了解系统环境、可用能力甚至是隐私信息等秘密;另一方面也可以向电脑发送控制指令,指示木马执行预定义的恶意动作,满足控制者各种不同的需求,甚至可以对木马进行在线升级,使木马具备更多作恶的能力,进而造成更大的破坏。
据了解,很多木马在连接C&C服务器的时候,会使用域名定位该服务器。《报告》数据显示,.com顶级域名仍然是大部分木马的首选。而在国家顶级域名中,中国的顶级域名.cn占据第一位。
(C&C服务器顶级域名分布图)
此外,一些木马也使用动态域名来定位C&C服务器,在五月威胁情报数据中,使用动态域名的木马占比为2.31%。
(C&C服务器使用动态域名情况分布图)
《报告》还显示,哈勃分析系统经过整理、统计木马直接访问和通过域名解析访问的两类C&C服务器IP,并通过IP查找服务器所在地区发现,美国以超过一半的比例成为C&C服务器数量最多的国家,其次是中国。
(C&C服务器IP分布地图)
(五月C&C服务器IP分布Top10国家)
对于直接使用IP地址访问C&C服务器的木马,哈勃分析系统还统计了访问时使用的端口信息。《报告》中指出,大量木马倾向于使用浏览网页的常用端口——443端口和80端口与C&C服务器进行通信。通过这两个端口传输的数据有很大几率会被防火墙、网关等网络安全设备放行,而恶意木马正是利用了这一点,才去使用这两个端口来传输数据。
(C&C服务器使用端口分布图)
木马恶意行为多样 Downloader类成最大危害
通过分析从木马中自动提取出的威胁情报,哈勃分析系统还原出了木马与C&C服务器进行通信的细节,并根据其中的重要特征对木马进行分类。《报告》显示,Downloader类木马在五月一直占据较大比例,且在中下旬有明显增长,其次是Worm_email类木马,而Backdoor类木马则是在下旬有抬头的趋势。
(五月木马分类每日统计)
《报告》指出,Downloader类木马的主要行为是从网络上下载恶意可执行文件。木马运行后,会从C&C服务器指定位置下载恶意程序,或是包含指向恶意程序的链接的配置文件。木马作者可以通过控制C&C服务器,来指定木马下载的内容,然后执行其指定的任意恶意行为。
Worm_email类木马主要是通过电子邮件进行蠕虫式传播,即通过邮件进一步传播到其他电脑上。它会在被感染的计算机中查找、搜集文件中存储的邮箱地址,然后将自身作为附件发送到该邮箱地址,实现大范围的传播。
尽管在五月数据中占比不高,Backdoor类木马仍是木马作者进行远程控制的重要手段。与其它威胁情报中文件级别的交互关系不同的是,Backdoor类木马可以与C&C服务器进行指令级别的交流,并通过预先定义好的指令,执行相应的恶意行为,包括收集系统信息、上传敏感文件、窃取账号信息等等。
借力C&C服务器 木马恶意操控用户手机
与电脑端相比,智能手机中的木马更倾向于使用手机和邮箱对受害手机进行信息收集和操控,但仍有部分木马使用C&C服务器的方式来达到同样的目的。据分析,手机木马中使用的C&C服务器大多用于存放广告、恶意APK等文件的下载地址,专供木马下载使用,极少有手机端木马与服务器进行复杂的通信或交流。
《报告》数据表明,国内手机木马C&C服务器IP分布排列前三位的分别为四川绵阳、山西长治、江西南昌,三所城市的IP总量占到了全部数据的71.83%。
(手机木马C&C服务器IP分布Top3地区)
根据《报告》结果,哈勃分析系统建议用户,始终从正规网站或官方网站下载和使用软件,不要轻信小型网站、网盘分享的文件,也不要随便下载群、论坛等社交渠道推荐的软件。对于不放心的软件,可以使用哈勃分析系统对其进行检测,及时发现风险。此外,安装并使用安全类软件,并随时留意保持其处于可用状态,能有效防止病毒木马的入侵,同时可以配合使用一些防火墙类软件,拦截可疑的网络请求。另外,有些网络环境由网络管理员或网络安全部门进行维护,必要时需要配合其进行网络安全检测和设置。
【关键词】哈勃 五月报告 C&C 服务器
【关键词】哈勃 五月报告 C&C 服务器