HackinItaly: QNAP NAS僵尸网络的覆灭之路

上星期五,8月4日,美国一家法院的陪审团对一名意大利公民Fabio Gasperini 作出有罪判决,罪名是构建僵尸网络,通过劫持远程服务器并偷偷点击广告以牟取个人利益。

Gasperini被逮捕后,在今年四月低被引渡到美国。本文中主要讲述Gasperini建立自己的僵尸网络的过程、Forkbombus实验室和FBI的刑事申诉过程,以及之后僵尸网络的覆灭、操纵者被逮捕的过程。

骗子用Shellshock漏洞控制QNAP NAS设备

整个故事开始于2014年9月,发生在Shellshock(CVE-2014-6271)(著名的破壳漏洞)被公开披露之后,这一漏洞能影响众多的运行在GNU/Linux上的会跟BASH交互的应用程序,允许攻击者远程接管互联网连接的设备。

Gasperini是众多跳上“Shellshock漏洞利用快车”的犯罪分子中的一员,但与其他人不同的是,Gasperini专心致力于挖掘一个产品线的漏洞,那就是威联通(QNAP,台湾一家硬件制造商)系统公司制造的网络附加存储(NAS)设备。

Gasperini用自动扫描嗅探网络上开放了80端口的QNAP NAS设备,并通过

Shellshock漏洞利用代码控制那些含有漏洞的设备。

Forkbumbus Labs的研究人员对Gasperini使用的恶意代码进行了分析,发现它具有以下功能:

  • 添加后门管理员帐户。
  • 创建一个可公开访问的未经验证的webshell。
  • 在26端口上配置SSH的守护进程。
  • 修补已感染QNAP NAS设备上的Shellshock漏洞,防止被其他人利用。
  • 下载并执行一个名为Lightaidra 的IRC僵尸程序。
  • 僵尸网络进一步的传播(类似蠕虫)。
  • 以欺诈的方式访问广告,模仿正当的人类行为。

在Shellshock漏洞公开披露的一个月后,QNAP发布了一个安全补丁来保护客户的设备免受感染。然而,这并没有阻止Gasperini僵尸网络的传播。

根据报告提供给电脑响声的Stu Gorton,共同创始人和首席技术官forkbumbus实验室,加斯佩里尼的僵尸网络传播到2500多个QNAP NAS设备在70个国家。

根据Forkbumbus Labs联合创始人和首席技术官提供的报告,可以看到Gasperini的僵尸网络感染了2500多个QNAP NAS设备,覆盖范围有70个国家。

在建立僵尸网络的过程中,Gasperini犯了几个低级错误,导致Forkbombus Labs团队得以追踪到他的真实身份。

Gasperini的错误

首先,Gasperini僵尸网络中的一些域名是用“gaspolo@gmail.com”邮箱注册的,这个邮箱是他的个人邮箱地址,“Gaspolo”是他的绰号。Gasperini真正的名字从未在域名注册过程中出现过,但当研究人员试图重置攻击者的Gmail帐户密码时,Google透露了Gasperini这个名字:

这之后不久,Forkbumbus的研究人员追踪到Gasperini在其他站点的用户账号(如Blogspot、Fackbook等),从这些信息中不难看出他是一个对服务器管理和其他高级技术话题有浓厚兴趣的人。

Forkbombus Labs整理了所有发现的关于Gasperini的信息,并向美国当局提出刑事诉讼。

实验室负责人Gorton说:“我们的研究人员很快发现了这一僵尸网络长期存在过程中的相关活动,以及这些攻击背后的动机。这使得我们的用户能够快速地识别出对该活动,并作出适当的应急响应。通过我们与FBI的共同努力,得以对这一活动进行根本性的铲除,保护我们的客户和整个互联网避免遭受它的攻击。”

HackinItaly.

FBI、荷兰和意大利警方在联合调查之后,由荷兰警方于2016年6月18日在阿姆斯特丹逮捕了Gasperini。

警方在这次突袭行动后表示,他们在Gasperini家中发现了超过300,000欧元(约合32.5万美元)的资金。其他的袭击行动发生在罗马,勒佐卡拉布里亚(意大利南部港市)和威尼斯,Gasperini的兄弟和四个同伙都住在那里。这次行动的代号是 HackinItaly

当局还指控其他五人有黑客和洗钱行为,但美国官员只要求引渡Gasperini,这一申请在今年四月份被批准。4月21日,Gasperini在美国法院被起诉,并由陪审团审判。

Gasperini似乎是在他和他兄弟一起作为一个在线博彩网站的技术人员时,学会了如何操作僵尸网络的技术技能。

除了运行僵尸网络进行点击欺诈外,后来Gasperini开始向其他网站租用僵尸网络的流量。他用自己的名字给这些公司开了发票,但每次发票的价格都不超过5000欧元,这一数额可以使得自由职业者不必在意大利申请增值税。

因为流散的自由职业者不能在每个日历年中的工作不能超过30天,他用他哥哥的个人和其他四名同伙的税码来清洗这些钱。

Gasperini被判处一年监禁

当局说,他们在逮捕Gasperini时从他家中发现了300,000欧元,但他们怀疑Gasperini做的比这更多。

8月9日,作出了有罪判决,美国一名法官判处Gasperini入狱一年,罚款100,000美元,监禁一年被释放后需接受监督。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/104782.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code