RSA犯罪行動(dòng)研究實(shí)驗(yàn)室的主管艾維·拉夫表示，URLZone集團(tuán)剛意識(shí)到自己被安全人員發(fā)現(xiàn)和監(jiān)控，因此，已經(jīng)開始采取積極措施，防止其騾子帳戶被曝光。

拉夫解釋道：

查詢騾子帳戶的一種辦法就是利用木馬感染一臺(tái)計(jì)算機(jī)，并開始交易，這時(shí)間，欺詐者就可以看到木馬通過騾子帳戶與命令和控制服務(wù)器（C&C）進(jìn)行聯(lián)系。為了試圖挫敗反詐騙安全研究人員（如我們）意圖找到真正的騾子帳戶的努力，欺詐者使用了創(chuàng)建"假騾子"的方法。欺詐者會(huì)對(duì)研究人員使用的計(jì)算機(jī)是否屬于"合法"的URLzone僵尸感染的機(jī)器的一部分進(jìn)行檢查。如果計(jì)算機(jī)被認(rèn)為是"外部"的，換句話說，就是犯罪分子不知道這臺(tái)機(jī)器，他們就會(huì)將假騾子帳戶提供給研究者所用的計(jì)算機(jī)。這是他們防止真正的騾子暴露的方法。

為了完成這一操作，犯罪分子在URLZone上添加了一段特殊的服務(wù)器端代碼，阻止對(duì)集團(tuán)所屬真正騾子帳戶的查詢。這段代碼顯示的不是URLZone集團(tuán)真正騾子帳戶的資料，取而代之的是其它不屬于該集團(tuán)的騾子帳戶的信息。這段代碼顯然是URLZone最獨(dú)特的標(biāo)志，說明了該犯罪集團(tuán)活動(dòng)相當(dāng)?shù)闹?jǐn)慎。

拉夫說"假騾子"模式可以確保該木馬程序的實(shí)際騾子帳戶不暴露，并在隨后被封鎖。

拉夫解釋說，對(duì)錢騾帳戶信息的鎖定帶來(lái)的變化導(dǎo)致一個(gè)高度有組織的盜竊計(jì)劃顯現(xiàn)了出來(lái)，他們憑借人為的瀏覽器攻擊來(lái)利用錢騾竊取網(wǎng)絡(luò)銀行帳戶中的資金。

他說，攻擊中使用的木馬現(xiàn)在有能力確認(rèn)計(jì)算機(jī)是否在查詢來(lái)自命令和控制服務(wù)器的錢騾信息，確認(rèn)它是否屬于被感染的僵尸網(wǎng)絡(luò)。

"如果是一臺(tái)未知計(jì)算機(jī)訪問命令和控制服務(wù)器的話，將獲得從超過400個(gè)（還在增加中）非騾子帳戶列表中的一個(gè)，以便欺騙試圖確認(rèn)它們的行動(dòng)，"拉夫說。

為了確認(rèn)一臺(tái)機(jī)器是否屬于其"合法"感染計(jì)算機(jī)僵尸網(wǎng)絡(luò)的一部分，URLZone將執(zhí)行一長(zhǎng)串的各種測(cè)試。舉例來(lái)說，其中的一項(xiàng)測(cè)試（如下圖所示）就是對(duì)木馬標(biāo)識(shí)或由URLZone分配給每臺(tái)受感染計(jì)算機(jī)的獨(dú)特識(shí)別碼進(jìn)行檢查。如果標(biāo)識(shí)是無(wú)效的，命令和控制服務(wù)器將通過偽裝生成功能提供非騾子帳戶的信息。

"當(dāng)研究人員試圖從被感染的計(jì)算機(jī)上追查真正的騾子帳戶時(shí)，URLZone可以識(shí)別機(jī)器是不是屬于真正僵尸網(wǎng)絡(luò)的一部分，然后調(diào)用GenerateFalseDrop函數(shù)，"拉夫解釋說。每次調(diào)用該函數(shù)，它就會(huì)從一大堆帳戶列表中返回一個(gè)非騾子帳戶的信息。

在生成非騾子帳戶欺騙執(zhí)法人員的時(shí)間，該木馬顯示的實(shí)際上是真正的銀行帳戶，是URLZone受害者在系統(tǒng)被感染的時(shí)間進(jìn)行的合法交易的細(xì)節(jié)。

這些帳戶交易信息是木馬根據(jù)不同的標(biāo)準(zhǔn)篩選出現(xiàn)的，以確定他們是否可以加入假騾子帳戶列表中。只要計(jì)算機(jī)感染了木馬，受害者繼續(xù)進(jìn)行網(wǎng)絡(luò)交易的話，URLZone就可以通過中間人攻擊偽造交易細(xì)節(jié)，越來(lái)越多的信息會(huì)被加入假騾子帳戶列表中。

kuangmin