釜底抽薪：顶级流量分配攻击家族EITest指控基础设施被捣毁

近日，Abuse.ch、BrillantIT和Proofpoint三家公司安全研究人员利用sinkhole攻击，对臭名昭著的EITest恶意软件家族釜底抽薪，直接捣毁了其背后的指挥控制基础设施，涉及52000恶意软件传播服务器。

顶级流量分配系统：网络犯罪分子的摇钱树

EITest又被称为顶级流量分配系统，是一系列受感染的服务器家族，黑客在这些服务器上安装了后门，利用这些后门从网站虹吸合法的流量，将潜在受害者引导到嵌入了恶意软件的web页面。攻击者利用exploit kits攻击工具包分发勒索软件或者技术支持诈骗传播加密货币挖矿工具，借以牟取暴利。

技术支持诈骗网页是一个伪造的、看起来与合法的微软Windows通知很相似的页面，提示受害者“该系统已被恶意软件感染，并督促用户打电话给他们的“技术部门”来解决这个问题。”然而，实际上，网页会加载Coinhive上的一个脚本并运行加密货币挖矿工具。除了系统滞后或性能问题外，大多数用户不会注意到他们的系统受到了感染。

此类恶意活动称为“流量分配”攻击，很多网络犯罪分子都会构建此类僵尸网络，而后再租给其他诈骗团伙。

EITest最早在2011年出现在网络犯罪市场上，最初还不是一个可租借的流量分配系统，只是用于将流量重定向到自制的exploit kit攻击工具包“Glazunov”,对用户进行Zaccess trojan木马病毒感染。2013年，幕后操纵者对其基础设施进行改建，并于2014年开始提供公开租借服务，以每千人20美元的价格出售劫持流量。自此以后，EITest开始成为令安全研究人员头痛的常见威胁，成为IE不计其数的勒索软件家族的传播、Angler和RIGExploit Kit攻击工具包的活跃，以及社会工程学网站的盛行（浏览器劫持、技术支持诈骗、虚假应用更新、虚假字体包等）的“登陆页”。

釜底抽薪：安全公司捣毁EITest关键域

2018年年初，BrillantIT研究人员终于找到办法切断受感染站点与指控基础设施之间的连接方式。他们在控制了其中一个域（stat-dns.com）后，成功劫持了EITest整个运行网络。该服务器自3月15日以来一直定向至某个sinkhole槽洞，导致数百万用户登陆恶意攻击站点。

研究人员对进入该槽洞的流量进行分析后发现，EITest僵尸网络每日处理的用户约200万人，来自52000多个被黑网站，而大部分都是WordPress网站。

销声匿迹？幕后团伙并未试图夺回网络控制

在关键域被捣毁后，犯罪团伙只是关闭了他们的指挥控制代理，除此之外未有其他举动。

至少从目前来看，EITest幕后团伙似乎已经放弃重新夺回对网络的控制，但不排除他们另起炉灶重建一个全新网络的可能性。

除了EITest，市场上仍然存在其他流量分配网络，如Fobos，Ngay和Seamless，而另两款攻击工具包Afraidgate和pseudo-Darkleech已经蛰伏数月。值得持续警惕。

关注戎磐网络，您的安全情报专家。

- 第一时间解读戎磐最新动态 -