美国司法部联合荷兰国家警察、泰国皇家警察及网络安全公司Lumen Technologies旗下Black Lotus Labs,成功捣毁与非法代理服务Anyproxy和5socks关联的僵尸网络。三名俄罗斯公民及一名哈萨克斯坦籍嫌疑人被指控"共谋破坏受保护计算机系统"罪名。
核心犯罪事实
-
通过恶意软件感染全球老旧路由器(包括美国境内),在用户不知情下将其改造成代理服务器
-
通过Anyproxy.net和5socks.net网站出售被控设备访问权,两个域名由弗吉尼亚州某公司管理
-
5socks.net累计售出超7000个代理服务,月费9.95-110美元,非法获利达4600万美元
技术运作细节
-
隐蔽性强:
-
仅约10%受感染设备被VirusTotal等常规工具识别为恶意
-
采用土耳其境内5台C2服务器,主要使用80端口通信
-
提供"租赁代理"服务,客户可匿名购买24小时IP:端口组合
-
犯罪链条:
-
支持加密货币支付,主要针对物联网和中小企业设备
-
被用于广告欺诈、DDoS攻击、暴力破解及数据窃取等非法活动
行业警示
-
FBI本周发布紧急警报,指出攻击者专门利用停产路由器(EoL)的已知漏洞组建僵尸网络
-
中国黑客组织亦被曝利用同类漏洞构建僵尸网络,渗透美国关键基础设施
-
恶意软件可实现持久控制,每60秒至5分钟与设备通信维持访问
防护建议
-
立即更换已停产的路由器设备
-
禁用远程管理功能并定期重启设备
-
监控异常网络流量,特别是对外部C2服务器的连接
原文始发于微信公众号(黑猫安全):月行者行动成功捣毁Anyproxy与5socks犯罪服务的僵尸网络
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论