导语:Geodo和TrickBot堪称当今最恶劣的两种恶意软件,其C2设备在世界范围内广为分散、数量众多。这表明,在未来的几个月里,这些恶意软件家族几乎可以肯定会继续存在。
Cofense Intelligence™在对今年传播于网络上的钓鱼恶意软件研究后发现,27%的威胁指标(IoC)使用过位于美国或通过美国代理的C2(也称C&C,Command and Control Server缩写,指木马的控制和命令服务器)设备。美国俨然已成为恶意软件C2的最大的设备所在地。
下面的地图1对观察结果做了详细描述。虽然美国在其中所占比例最大,但并不表示美国用户遭受到的攻击最多,因为威胁行为者为了避免被本国逮捕或引渡的风险,更倾向在在本国以外的国家或与东道国签订引渡协议的国家托管C2设备。然而,C2基础设施极大偏向于受损主机,说明美国境内主机受损的情况还是普遍存在的。
地图1:2018年观测到的所有ip,都是从域名和直连中解析出来的
下面的图表1反映了在地图1中观察到的前5个相对数据点。
图表1:2018年迄今为止,全球排名前5的C2地点。
地图2和地图3对C2所在地TrickBot和Geodo Tier 1代理节点之间的并置做了详细说明。
地图2:2018年迄今为止TrickBot的C2分布地点。
地图3:2018年迄今为止Geodo的C2分布地点
乍一看,Geodo与TrickBot的C2设备所在地可能有些出入:Geodo更多的使用美国主机,而TrickBot则更倾向于俄罗斯设备。Geodo会使用被破坏的Web服务器网络,通过运行Nginx作为Tier 1代理节点。更具体的说,Geodo使用合法的Web服务器作为反向代理,在这些Web服务器与隐藏的C2主机建立连接。 而TrickBot几乎都在用虚拟专用服务器(VPS)来托管其恶意设备。
从TrickBot的C2分布趋势明显可以看出,东方(比如东欧和俄罗斯)的C2数量相对西方就多得多了,所以TrickBot活动几乎总是针对西方受害者。今年6月,Cofense Intelligence发布了一份报告,报告中详细描述了针对英国的持续性恶意攻击。可能是由于这些国家之间缺乏引渡协议(如下图1所示),TrickBot才会选择东方作为C2的主要分布点,虽然如此,TrickBot也还是有一些C2位于北美和西欧的,这可能是一个战略性的举措,TrickBot在多个地点分布C2,通过区域多样化来混淆其位置,这种不确定性可以帮助其主机在相对较长的时间内不被捕获。图2是地图2的补充说明,对TrickBot C2所在地进行了详细统计。
图1:与美国签署引渡协议的国家。
图2:TrickBot C2所在地分类。注:在“其他”类别中,64%是东部地区(包括东欧)。
Geodo和TrickBot堪称当今最恶劣的两种恶意软件,其C2设备在世界范围内广为分散、数量众多。这表明,在未来的几个月里,这些恶意软件家族几乎可以肯定会继续存在。一个热心的网络防御者应该注意到,使用地理位置来帮助区分合法的流量和潜在的恶意流量可能并不像看起来那么有效。根据上述案例研究,从可靠的来源积极监测威胁情况并保持警惕将是较为谨慎的做法。