What Is Retadup and How Can It Jeopardize the Security of Your Passwords?

Retadup Brought Down

例如,Retadup是一个恶意软件系列,它从来没有像Trickbot那样真正地吸引主流媒体的注意力。这看起来有点奇怪,因为虽然它从未真正成为最广泛传播的Windows蠕虫病毒,但并没有任何受害者短缺。没有更好的证据证明,当Avast的安全研究人员与法国警方合作接管Retadup的命令与控制(C&C)服务器之一时,他们设法在几分钟内对高达85万台个人计算机进行了消毒。

这对安全社区来说是一个巨大的成功,但在我们开始之前,让我们来看看Retadup是什么。

Retadup - 一个功能强大的下载器,具有聪明的功能

趋势科技是少数几家对Retadup给予了极大关注的安全公司之一,它在2017年和2018年发布了一些 技术 文章 。当时,恶意软件处于针对大小目标的多种不同攻击的中心,它被用于从加密货币采矿到信息窃取的任何事情。

最近,Retadup引起了Avast研究人员的注意,他们表示南美的不少用户在几个月内就被感染了。在此活动中,恶意软件主要用于下载和激活加密货币矿工,尽管专家确实指出他们也看到它分发Stop勒索软件以及Arkei密码窃取程序。 Avast的研究人员拿到了一些样本,仔细分析了他们,他们意识到在相关执法机构的帮助下,他们可能只能对整个行动造成相当大的打击。

Avast与法国警方合作,将Retadup降下来

在仔细监控感染Retadup的PC如何从骗子的后端基础设施接收命令之后,Avast的专家们发现,尽管其复杂程度,但Retadup在C&C通信协议中存在严重的设计缺陷。如果被利用,这个漏洞将允许专家运行消毒脚本并从数十万用户的计算机中删除Retadup(以及它留下的所有痕迹)。他们唯一需要的是访问位于法国的C&C服务器。为了得到它,他们与法国警察的网络犯罪战斗部队C3N取得联系,并寻求帮助。

手术相当精致. Avast的专家在编写和执行脚本之前必须仔细查看C&C服务器上的所有内容。与此同时,恶意软件运营商不知道发生了什么是至关重要的。如果他们知道,他们会决定如果Retadup操作即将结束,它将以爆炸结束,而不是相对无害的加密货币矿工,他们会在数十万台计算机上丢弃勒索软件。因此,隐身至关重要。

运营C&C服务器的托管服务提供商创建了硬盘驱动器的快照,并将其交给法国警方,后者又将其转发给Avast的专家。这听起来也比现在容易。托管公司必须在不警告恶意软件作者的情况下创建快照,并且还必须确保人们的隐私受到保护,这意味着让Avast的研究人员只能访问C&C的特定部分。当专家分析服务器时,他们看到了恶意软件感染的痕迹。事实证明,具有讽刺意味的是,Retadup的作者已经粗心地用另一种恶意软件来感染自己。

后来做了很多艰苦的工作,消毒脚本已经完成,它被放在一台应该取代C&C并停止Retadup的服务器上。最终,在7月份,法国警察获得了必要的权限,服务器被切换,几秒钟内就删除了数千个Retadup感染。其余的C&C基础设施位于美国,这意味着FBI也必须参与其中。在服务器被删除后,恶意软件的作者无法与他们的蠕虫通信。

Retadup已关闭,但它出来了吗?

与勒索软件或信息窃取操作相比,加密货币挖掘总是比其他任何东西都更加不便。然而,打倒如此庞大的恶意软件感染设备僵尸网络总是好消息。不幸的是,现在说Retadup是否出类拔萃还为时尚早。

如果Avast的研究人员能够找到通信协议中的缺陷,那么恶意软件的作者也是如此。如果他们修复它,重建C&C基础设施,并重新启动操作应该不会太困难。

September 5, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
10 + 3是什么?