What Is Retadup and How Can It Jeopardize the Security of Your Passwords?

Retadup Brought Down

例如,Retadup是一個惡意軟件家族,它從來沒有像Trickbot那樣真正地吸引主流媒體的注意力。這看起來有點奇怪,因為雖然它從未真正成為最廣泛傳播的Windows蠕蟲病毒,但並沒有任何受害者短缺。沒有更好的證據證明,當Avast的安全研究人員與法國警方合作接管Retadup的命令與控制(C&C)服務器之一時,他們設法在幾分鐘內對高達85萬台個人計算機進行了消毒。

這對安全社區來說是一個巨大的成功,但在我們開始之前,讓我們來看看Retadup是什麼。

Retadup - 一個功能強大的下載器,具有聰明的功能

趨勢科技是少數幾家對Retadup給予了極大關注的安全公司之一,它在2017年和2018年發布了一些 技術 文章 。當時,惡意軟件處於針對大小目標的多種不同攻擊的中心,它被用於從加密貨幣採礦到信息竊取的任何事情。

最近,Retadup引起了Avast研究人員的注意,他們表示南美的不少用戶在幾個月內就被感染了。在此活動中,惡意軟件主要用於下載和激活加密貨幣礦工,儘管專家確實指出他們也看到它分發Stop勒索軟件以及Arkei密碼竊取程序。 Avast的研究人員拿到了一些樣本,仔細分析了他們,他們意識到在相關執法機構的幫助下,他們可能只能對整個行動造成相當大的打擊。

Avast與法國警方合作,將Retadup降下來

在仔細監控感染Retadup的PC如何從騙子的後端基礎設施接收命令之後,Avast的專家們發現,儘管其複雜程度,但Retadup在C&C通信協議中存在嚴重的設計缺陷。如果被利用,這個漏洞將允許專家運行消毒腳本並從數十萬用戶的計算機中刪除Retadup(以及它留下的所有痕跡)。他們唯一需要的是訪問位於法國的C&C服務器。為了得到它,他們與法國警察的網絡犯罪戰鬥部隊C3N取得聯繫,並尋求幫助。

手術相當精緻. Avast的專家在編寫和執行腳本之前必須仔細查看C&C服務器上的所有內容。與此同時,惡意軟件運營商不知道發生了什麼是至關重要的。如果他們知道,他們會決定如果Retadup操作即將結束,它將以爆炸結束,而不是相對無害的加密貨幣礦工,他們會在數十萬台計算機上丟棄勒索軟件。因此,隱身至關重要。

運營C&C服務器的託管服務提供商創建了硬盤驅動器的快照,並將其交給法國警方,後者又將其轉發給Avast的專家。這聽起來也比現在容易。託管公司必須在不警告惡意軟件作者的情況下創建快照,並且還必須確保人們的隱私受到保護,這意味著讓Avast的研究人員只能訪問C&C的特定部分。當專家分析服務器時,他們看到了惡意軟件感染的痕跡。事實證明,具有諷刺意味的是,Retadup的作者已經粗心地用另一種惡意軟件來感染自己。

後來做了很多艱苦的工作,消毒腳本已經完成,它被放在一台應該取代C&C並停止Retadup的服務器上。最終,在7月份,法國警察獲得了必要的權限,服務器被切換,幾秒鐘內就刪除了數千個Retadup感染。其餘的C&C基礎設施位於美國,這意味著FBI也必須參與其中。在服務器被刪除後,惡意軟件的作者無法與他們的蠕蟲通信。

Retadup已關閉,但它出來了嗎?

與勒索軟件或信息竊取操作相比,加密貨幣挖掘總是比其他任何東西都更加不便。然而,打倒如此龐大的惡意軟件感染設備殭屍網絡總是好消息。不幸的是,現在說Retadup是否出類拔萃還為時尚早。

如果Avast的研究人員能夠找到通信協議中的缺陷,那麼惡意軟件的作者也是如此。如果他們修復它,重建C&C基礎設施,並重新啟動操作應該不會太困難。

September 5, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
10 + 7是什麼?