之前有些讨论SpyEye的博客,报道和技术白皮书均已发表,但尚未真正谈到其界面和犯罪份子如何利用SpyEye。
实际的界面共分为2个元件。第一个元件是叫做CN 1的前端界面,或称主要存取控制。这是僵尸网络/傀儡网络 Botnet操控者可用来与其操控的傀儡僵尸互动的界面。这个界面显示出与受感染系统相关的统计数据。
第二个界面比较像是后台,名叫SYN 1,或是Formgrabber表单存取控制。这个界面实际是在搜集及log编录数据资料。此界面还可让傀儡僵尸操控者就所搜集到的数据资料进行查询,及利用界面检视偷盗得的资料。本篇文章是重点关注CN 1这个元件,以及这个元件如何使用。
图1、SpyEye主要界面
上图的屏幕画面中,你可看到每个人现在都认得出的主要界面。页面有“黑入全世界!”的标识,显示出目前有多少僵尸网络/傀儡网络 Botnet在线,以及僵尸网络/傀儡网络 Botnet网络中目前共有多少傀儡僵尸。在这个画面中你可看到有2千3百92个傀儡僵尸在线,总数略超过1万8千。从本例可看出傀儡僵尸网络的规模相当大。除此之外,也可在画面左手边看到服务器的日期。
图2、SpyEye控制台
左上方的第一个功能键标识为“Create Task for Billing制作收款工作”。这个功能键,再加上billinghammer外挂程序(位在Plug-ins功能键内),让僵尸网络/傀儡网络 Botnet操控者对从特定网站收取来的信用卡进行请款。如此一来,操控者可直接从偷盗来的资料取得金钱利益。Brian Kreb在他的博客中有着更多billinghammer外挂程序细节的报道,有兴趣者可关注其本人推特。
图3、傀儡僵尸列表屏幕画面
接下来是Bots Monitoring僵尸网络/傀儡网络 Botnet监控键。在这个键之下会看到每个国家有多少受感染的傀儡僵尸列表,以及有多少傀儡僵尸在使用哪个版本的SpyEye,和每天增加多少数量的傀儡僵尸。上图的屏幕画面中没有列出国家的原因,是因为在更新IP的地理信息时产生错误的结果。多数的傀儡僵尸使用的10244版的SpyEye,此刻最近版已被更新至10265版。幕后的操控者平均每日可感染约1千5百名使用者,并将被感染者加入僵尸网络/傀儡网络 Botnet网络中。
图4、统计数据屏幕画面
上图的屏幕画面出现在按压Full Statistic完整统计数据功能键后。如所示,多数受感染的机器使用Windows XP操作系统。不过要特别注意的是,Windows 7也被包括在此图表中。图表同时也显示总数中大约百分之80的受感染使用者,是以管理者优先权登录进来的 。
图5、下载网站屏幕画面#p#
控制台上的下一个功能键是Create Task for Loader搭载器工作制作键。这个功能键用来指示傀儡僵尸到特定的网站(产生点击以增加广告利润),或下载更多恶意软件。
图6、更新傀儡僵尸操控台之屏幕画面
Update Bot傀儡僵尸的更新键执行的任务一如其名。此键是由网络犯罪份子用来上传设定文件及更新SpyEye二位元文件,供旗下的傀儡僵尸下载使用。当操控者需要改变傀儡僵尸们的连结或更新版本时,就会使用到此键。
图7、检测功能屏幕画面
Virtest检测功能键非常特出,我觉得这个功能很有意思。Virtest是一个位在东欧的网站,登录进入的使用者可扫瞄二位元文件和入侵套组,以测试是否受到防毒软件的防毒引擎的侦测。这是个付费服务,使用者通常需要对每次的扫瞄付费。
SpyEye将这个网站的使用者加入其工具组中。当使用者利用Update 僵尸网络/傀儡网络 Botnet更新键上传更新过的两位元文件时,文件夹的连接就会于此展示。傀儡僵尸操控者只需点击Submit送出,更新过的文件案就会传送到Virtest,让操控者知道该文件案是否经常受到侦测。
图8、设定控制台屏幕画面
这是Setting设定功能键的屏幕画面。从这里可看到多数在CN 1控制台中运作功能的设定。注意这个键旁的Virtest检测功能键是用来登入Virtest的区块。此处也有FTB和Socks 5的backconnect后台连结。这些可让傀儡僵尸操控者制作出与傀儡僵尸们的反向连结,以进行更多不同的工作。
不同的傀儡僵尸愈发精良,SpyEye当然不例外。我们很快会发步本系列的下篇,讲述SYN 1如何运作,并以屏幕画面展示除了信用卡和银行交易凭证外,还有哪些资料会被偷盗。
【编辑推荐】
