全球金融业头号恶意软件“宙斯”追踪纪实

作者：nana 日期：2015年06月24日阅：3,516

这是一个自诞生以来造成了全球金融行业损失了十亿美元的工具，无论是易用性还是适应性，或是破坏性，无不令人叹为观止。这是一段恶意代码的故事，也是追击其创造者的纪实。

问世

任何全球性疫病爆发时，最重要的事都是尽快找出第一感染源。在一场推动网络犯罪发展的长达9年的网络瘟疫中，这个源头是“fliime”。2006年10月11日凌晨2:24，在线论坛Techsupportguy.com，一个网名为Fliime的用户声称要在他姐姐的电脑上植入一段恶意代码，“有人能看看吗？”他写道。

Fliime自己大概也没意识到这就是历史的开端。不过，那段种到电脑里的恶意程序是新品种，在一天之内收集到的用户登录信息和网站密码比同类恶意软件在数周内收集到的都要多。经过不断的强化，这款恶意软件及其变种成为了实施网络银行劫案的强力武器，数百万台电脑沦为受网络罪犯控制的全球性僵尸网络。

研究这段代码的调查人员对其创造者所知的只有一堆跟恶意软件一样频繁变化的假名：A-Z、Monstr、Slavik、Pollingsoon、Umbro、Lucky1235。但是这位神秘的程序员给他的作品取了个恒久的名字：ZeuS（宙斯）。如果希腊神话中的众神之王宙斯一样，这个数字空间中的“宙斯”也繁衍出了众多各具才能的子子孙孙，并各自成为现代网络犯罪产业的研究案例。

宙斯在fliime姐姐的电脑上初次登场亮相之前数月，唐·杰克逊在戴尔的SecureWorks找到了他理想的工作。SecureWorks是一个与美国政府和财富500强企业紧密合作的网络安全机构。之前8年，杰克逊都在亚特兰大的蓝十字盾公司从事信息安全工作。来到戴尔之后，他的职业生涯得到了大的提升，如同从普通警员升为精英特警。

杰克逊是土生土长的阿拉巴马人，说话谨慎，从不吹嘘。对这份新工作，他已做好充分准备。在日常工作之余，他就自学了俄语，并且常混迹于网络罪犯们钟爱的在线论坛，装成心理扭曲的程序员。

宙斯一时引发轰动，杰克逊从未见过哪个刚出现的恶意软件会引起如此强烈的关注。编写恶意代码并不比创建合法软件简单，稍不注意，恶意软件就会拖慢机器运行速度、干扰其他程序或是直接造成死机，从而引发受害者警觉。宙斯则不然，它几乎与系统无缝衔接，而且其作者以狂热的速度持续改良这款恶意软件。

“它是个畅销品，人们都欣赏它。而且它还新鲜先进，拥有全部恶意软件的高端特性。”

爆发

2007年，宙斯进化成了类似企业级软件的东西，将所有工具融合在一起，可供人进行自助网络盗窃。最关键的是，它包含了跟踪和管理受感染主机的功能，简化了打造僵尸网络的工作。僵尸网络是各种网络犯罪行为必不可少的基础，它们不仅仅可以收集肉鸡上的数据，还是黑客发送钓鱼邮件，发动DDoS攻击的终极武器。

在问世不到1年的时间里，这款软件开始进化出各种各样的方法来挫败恶意软件猎手的围追堵截——包括像杰克逊这样的人力猎手和自动化的反病毒程序。一旦攻入一台新电脑，宙斯便重组自身代码，改变反病毒程序找寻的特征。攻击者还可以开启“代理服务器”功能传输偷窃的数据——也就是用假地址隐藏真实路径和目的地址，使溯源工作复杂化。

SecureWorks客户都被感染了宙斯，他们寻求公司的帮助，将样本代码发给杰克逊解构分析。2007年6月，杰克逊开始认识到问题的严重性：仅仅两组黑客每天都从上万台感染的主机上盗取超过1GB的数据。

“没人清楚到底有多少人买了这段木马代码，有多少攻击正在实施，又有多少攻击正在策划中。同时，企业主机和家庭计算机用户正以GB为单位丢失敏感信息。”

情况很快就变得更糟，然而，除了杰克逊和他的同事们，极少有人意识到这一点。2007年6月29日，苹果公司发布iPhone。几乎是同时，消费者们开始收到提供免费iPhone屏保链接电子邮件。最终，那些点击了链接的人收到的是最新版的宙斯变体。而当杰克逊拿到那段新代码的时候，他简直不敢相信自己的眼睛。

宙斯代码现以让黑客介入到用户的网上银行会话中间。首先，攻击者从偷来的数据中梳理出那些能够登录商业银行账户且大笔转账也不会触发警报的被感染机器。只要这种机器登录银行网页，黑客便可以从宙斯工具包捆绑的管理界面看到它，介入到合法的会话中。受害者可能会在他的屏幕上看到声明为网站维护的页面引用延迟，或者一个要求输入PIN码或社会安全号的对话框，而此时黑客就利用偷来的银行访问权清空了受害者银行账户。这是银行安全的噩梦，受害者是自己登录网银的，因而会话看起来100%合法。

同类恶意软件试图用偷来的凭证达成相同效果，但往往因无法准确模仿人类请求而绊倒在欺诈警报面前。这段代码很明显出自非常严谨的程序员之手，其作者将恶意软件制作带上了新高度。

知识产权

有一次，杰克逊获悉一位自称是宙斯的作者会以A-Z这个假名在一个叫Mazafaka的私人论坛出没。于是杰克逊装作要买A-Z的装备，与他建立了联系。杰克逊了解到A-Z有一艘船，很喜欢航行，而且对梅赛德斯-奔驰 SLR垂涎已久。这黑客提到过莫斯科的一所大学以及圣彼得堡的学校教育，但没有明确他是否受过正规的培训或合法的雇佣。

他的“货物”很贵，基础版就差不多要3000美元，加上插件则更贵。那个夏天，期待物有所值的客户开始不满。留言板几乎被不满A-Z没有更新的抱怨刷屏，竞争对手也开始逆向该代码，用便宜或免费的盗版刮分市场。到了2007年8月，A-Z在网上宣称他即将歇业，关停宙斯销售业务。

事后证明，这不过是虚晃一枪。2008年，宙斯卷土重来，附带一个恶意软件的混浊世界中非常少见的东西：终端用户协议。协议要求不重发布，不研究代码，不发送代码至反病毒公司。

不清楚是否有人曾违反过这些规定，或是宙斯的制作者有没有找过他人的麻烦，但这个协议释放出了一个信号：宙斯的作者在很认真在保护他的知识产权。到了2009年，这款恶意软件的保护发展到了基于硬件的许可：每个买家拿到的是一份加密文件，只有对应每台电脑唯一的键值才能解锁软件，并不允许共享使用。

Jabber宙斯

没人能确定复出的宙斯还是不是同一个程序员的作品，但创新驱动力依然在其中。这次，作者使用Monstr和Slavik这两个假名在他信任的客户群里推出新的测试功能。他主要与一个称为“Jabber宙斯”的团伙合作，这个团伙得名于恶意代码吸收了即时通讯软件Jabber的聊天模块。它始于2009年，可以将偷来的登录凭证通过即时消息实时发送。现在黑客们还有了虚拟控制受害计算机的选择——就像技术支持远程登录到你的计算机系统解决问题一样。这个虚拟控制的插件售价1万美元，是规避要求任何银行操作必须来自预定电脑的高安全设置的价格。

这种编排或许有些复杂，但极端有效。在肯塔基州路易斯维尔南部的布利特郡，Jabber宙斯的黑客感染了郡财务官的电脑，偷取了郡银行账户的登录名和密码。然后，他们修改了该账户的密码和预留联系电邮地址——意味着安全码会直接发送给黑客。后来的法律诉讼文件显示，他们往郡工资单中添加虚假雇员，然后为这些虚假员工授权自动转账，套取了超过40万美元的“薪水”。被雇来伪装虚假员工收取假工资的人就称为“钱骡”，他们负责提款并将钱转移。

安全公司估测宙斯在美国境内已经感染了360万台电脑，位居2009年僵尸网络威胁榜首。SecureWorks称，JabberZeuS僵尸网络在2009年至少让银行损失了1亿美元——比所有传统的非网络的银行罪案损失金额都要大。其中仅一家企业，建筑公司Patco就被宙斯劫走58.8万美元。

2009年5月，银行电子支付欺诈案的大量爆发刺激了FBI展开行动。在随后被称为“三叉戟突破行动”的调查中，发现了长长的受害者名单，包括了芝加哥和麻萨诸塞州艾格蒙特小镇的方济会修女。调查持续了一年半，但在2010年9月30号，美国、乌克兰和英国的执法部门逮捕或拘留了超过150名嫌犯。

FBI透露，被捕者是入侵390家美国公司，雇用超过3500名钱骡的乌克兰黑帮。据统计，受害者银行账户总计遭受了7千万美元的损失。

间谍之眼

在Jabber宙斯的调查过程中，杰克逊发现了一条重要线索，恶意软件作者的藏身之处。杰克逊找到了一台曾被用作僵尸网络临时控制中心的电脑。这台电脑上有一张照片，照片里一个戴着太阳镜的男人三根手指叉开放在胸前。他的身后，透过街边的窗户，可以看到一棵棕榈树。杰克逊将这张照片传给了他认识的一位空军研究员。一个月后，回复传来：这张照片看起来像是在俄罗斯黑海沿岸度假胜地阿纳帕拍摄的。

宙斯的作者并不在被捕者行列，但执法部门的突袭过后数天，网络犯罪行业又迎来了一个大事件：宙斯与其最大的竞争对手“间谍之眼”（SpyEye）计划合并。间谍之眼的创造者，一般称为Harderman或Gribodemon，最开始因宣称他的恶意软件是“宙斯杀手”而恶名远播。这次，他宣称将接手他的对手。

“真是美好的一天！”，他在一个黑市论坛上用俄语写道，“从今天开始我将负责维护宙斯产品。我已经免费收到了宙斯的源代码，因此，已经购买此软件的用户将不用再担心没有技术支持了。Slavik不再支持这款产品。他让我向大家传达他很高兴和大家一起工作的心情。”

尽管该交易被证明是短命的，它仍是一场非常成功的消失把戏。2011年5月，宙斯源代码泄露。一些研究员认为是Gribodemon在背后捣的鬼，一些则推断就是宙斯原作者自己泄的。不管是意外泄露还是有意泄露，宙斯现在实际上就是个开源项目，而且结果证明是极成功的商业策略。之前，宙斯作者没办法既规模化他的生意又保持低调不被执法部门盯上（看看Jabber宙斯那帮人的下场），而源代码泄露就会让调查人员分心于新一代宙斯变种，而创造者本人则可以专注于新的赚钱冒险上。

卷土重来

2011年底，宙斯开始建立私有僵尸网络。他摒弃了之前那种将恶意软件卖给犯罪分子去打造他们自己的僵尸网络的做法，而是与他的新合作伙伴一起打造属于自己的僵尸网络并部分租赁给其他犯罪分子。通过这种方式，宙斯作者就能成为自己僵尸网络的管理员，自己来控制网络掘金行动的风险。

2012年1月，FBI发布警告提醒注意防范新的宙斯变种。这种变种通过电子邮件传播，宣称自己来自政府部门，包括美联储和美国联邦储蓄保险公司。据FBI所言，这一恶意软件可被恰如其分地称为“游戏结束”，因为一旦这帮恶棍进入你的银行账户，那就绝对是“Game over”了。这次的变种增加了一些恶毒的新功能，包括发起拒绝服务攻击拖延银行安全措施延迟欺诈交易被发现的时间。截止2012年7月，“游戏结束”僵尸网络已蔓延至大约160万台电脑。

随着银行对宙斯劫掠行为的防护越来越好，“游戏结束”又发展出一种新型业务模式以补充银行劫掠行为：勒索。

这款新的恶意软件出现于2013年，依托“游戏结束”僵尸网络以垃圾邮件的形式散布。没警惕性的用户一旦点击了邮件里的链接就会收到一条预告信息：你的所有文件已被加密；请付**美元赎金，否则你将永远无法打开它们。有些形式的勒索软件基本上都是虚张声势，用户的文件其实并未被加密。但这个被称为Cryptolocker的版本则不然，研究人员根本找不到任何方法解开它。

无懈可击

两年来FBI一直看着这个僵尸网络越长越大而对之束手无策，FBI匹兹堡网络部特别监察员托马斯·格拉索表示，网络罪犯们似乎构筑了一座无懈可击的要塞。

之前的宙斯僵尸网络中，最弱的一环就是命令与控制服务器，黑客们需要通过它来发布命令到受感染的计算机上，偷到的数据也要通过这些服务器传回给黑客。这些服务器为调查人员提供了类似固定地址一样的东西去追踪，通常以硬编码到恶意软件中的域名呈现出来。“游戏结束”版宙斯通过经常性更换互联网地址和用2000台代理服务器分流来隐藏其命令控制中心。“游戏结束”还部署了一个分布式的架构：受感染的计算机可以相互间传递命令，点对点地传，而不需要各自单独与命令服务器通信。

“他们研究了人们在过去用来对付僵尸网络的手段，包括执法部门和安全行业的手段，然后他们建立了这个无法渗透的僵尸网络。说老实话，我们还真觉得这个僵尸网络无懈可击。”

突破性进展

2013年秋季，当时FBI的合作企业，包括SecureWorks，想到了一个打败僵尸网络的好办法。格拉索帮助整合了一支由10位FBI探员和来自大约20家不同公司的研究员组成的队伍，他们通过在僵尸网络系统中缓慢植入内奸，也就是用政府控制的电脑和服务器替换掉被感染的机器，再辅以控制住代理地址，来拿下这个僵尸网络。然后，他们取得了允许夺取并重定向僵尸网络管理权到他们自己的电脑上的法庭指令。2014年6月2日，FBI和司法部宣布僵尸网络捣毁成功，随之而来的还有另一个新闻：宙斯之父的姓名。

那天公布的一份法庭记录显示，这名男子不是被他自己的代码出卖而是被人背叛的。告密者将“游戏结束”版宙斯管理员使用的电子邮件地址告诉了FBI。这个地址引领FBI探员们找到了叶夫根尼·米哈伊洛维奇·伯格切夫，一名30岁的光头男子。

而且，他确实住在阿纳帕，那个著名的黑海度假胜地，连同那棵定位器般早在几年前就被杰克逊发现的棕榈树一起。伯格切夫在宙斯第一次出现在 Techsupportguy.com上的时候应该是22岁。目前，他依然在逃。（相关阅读：美司法部悬赏300万美元抓捕黑客伯格契夫）