华盟君引言“法国国家宪兵队宣布,已经在超过85万台控制其C2服务器的电脑上消除了Retadup恶意软件。”
法国警察部队,国家宪兵队,在控制了指挥控制(C2)服务器后,宣布成功删除了一个庞大的僵尸网络。这次行动使法国执法机构得以在Avast恶意软件研究人员的帮助下,远程消毒全球逾85万台电脑。
大多数受感染的系统位于拉丁美洲,超过85%的受害者没有安装任何安全软件。感染人数最多的是秘鲁,其次是委内瑞拉、玻利维亚、墨西哥和厄瓜多尔。
Retadup机器人至少从2015年就已经出现了,它参与了几次恶意活动,目的是传递恶意软件,如信息窃取器、勒索软件和矿工。
在最近的活动中,观察到Retadup蠕虫在拉丁美洲运送Monero加密货币矿工。
今年早些时候,Avast反病毒公司的恶意软件研究人员在僵尸网络的C&C协议中发现了一个设计漏洞,该漏洞可能被用来从受感染的计算机中移除恶意软件。
利用该缺陷需要控制由位于法国的主机提供商托管的命令和控制服务器。
今年3月,Avast联系了法国国家宪兵队的网络犯罪打击中心(C3N),请求其支持拆除僵尸网络。
今年7月,法国当局接管了RETADUP C2服务器,并将其替换为C2服务器。C2服务器的设计初衷是利用协议中的设计缺陷对机器进行消毒。服务器指示机器人从受感染的机器上删除自己。
“根据我们的建议,C3N拆除了一个恶意的指挥和控制(C&C)服务器,取而代之的是一个消毒服务器。Avast发表的一篇博客文章写道。消毒服务器以特定的响应来响应传入的机器人请求,导致连接的恶意软件片段自毁。在发表这篇文章时,这项合作已经消除了85万多种Retadup的独特感染。”
位于法国国家宪兵队的国家犯罪情报部门将继续在网上安装消毒服务器几个月,以便从数量最多的电脑上清除恶意软件。专家注意到,一些受感染的电脑仍未与消毒服务器取得联系,一些自7月以来一直处于离线状态。
“我们设法清理了85万多台被Retadup病毒感染的机器。这批计算机使全球范围内的大规模攻击成为可能。你可以想象,我们对成功地从受害者的计算机中清除病毒感到满意,这些受害者起初甚至不知道他们的计算机受到了感染。法国国家宪兵队国家犯罪情报部门负责人让-多米尼克·诺莱解释说。
他说:“基本上,我们设法查出了被感染电脑网络的指挥服务器、控制塔和僵尸网络的位置。它被复制,用我们的服务器复制,并做一些事情,让病毒闲置在受害者的电脑上。”
法国当局还与FBI分享了其在僵尸网络上的发现,专家们实际上发现,C2的部分基础设施位于美国。联邦调查局于7月8日迅速关闭了这台C2服务器。
“C&C基础设施的一些部分也位于美国。宪兵队通知了联邦调查局,是谁把他们打下来的,在7月8日,恶意软件的作者不再对恶意软件机器人有任何控制。由于C&C服务器有责任将挖掘作业分配给机器人,因此在删除之后,没有一个机器人收到任何新的挖掘作业来执行。“继续停住。“这意味着他们不能再耗尽受害者的计算能力,恶意软件的作者也不能再从采矿中获得任何金钱收益。”
专家解释说,Retadup多年来一直在积极发展,因此,在野外有许多不同的变种。这些变体非常相似,只是功能的实现方式不同,而核心是用AutoIt或AutoHotkey编写的。
通过对C&C服务器的分析,专家们发现它还包含一个. net控制器,用于名为HoudRat的自动it老鼠。研究人员认为,它只是Retadup的一种变体,其流行程度有所不同。
有关Retadup机器人的技术细节包含在Avast发表的分析中。
