信息來(lái)源:比特網(wǎng)
上周我們曝光的xDedic——這一銷售全球被感染服務(wù)器登陸憑證的虛擬黑市又有了最新消息���。根據(jù)目前掌握的情況,我們之前似乎低估了通過(guò)xDedic銷售和購(gòu)買的服務(wù)器數(shù)量���。xDedic幕后的網(wǎng)絡(luò)罪犯感染的服務(wù)器IP數(shù)量可能還有更多��。
正如我們之前的報(bào)道�,xDedic黑市上銷售了全球超過(guò)70,000臺(tái)被感染服務(wù)器的登陸憑證�����。但是現(xiàn)在�����,Securelist又獲得了更大范圍的數(shù)據(jù)集�����,其中包括約176,000臺(tái)之前可能被放到xDedic進(jìn)行銷售的受感染服務(wù)器�����。請(qǐng)點(diǎn)擊此處查看CSV文件中的服務(wù)器列表和IP地址�,我們按照國(guó)家代碼(基于GeoIP)對(duì)服務(wù)器進(jìn)行了分類�。
上述提到的數(shù)據(jù)集包括之前我們不知道的被感染服務(wù)器���,這一數(shù)據(jù)集由一名IP地址為立陶宛的匿名用戶在Securelist的評(píng)論區(qū)提供。該匿名用戶的留言中包含多個(gè)指向Pastebin的連接�,鏈接內(nèi)容為受感染服務(wù)器IP地址以及日期信息。根據(jù)統(tǒng)計(jì)�,其中共包含176,000條從2014年10月到2016年2月的記錄。
對(duì)這些數(shù)據(jù)進(jìn)行驗(yàn)證具有挑戰(zhàn)性��,但是很明顯��,Pastebin中的數(shù)據(jù)集同xDedic黑市的運(yùn)營(yíng)時(shí)間線吻合�。這些列表中包含很多RDP服務(wù)器的IP地址,包括那些已知被感染的服務(wù)器�。同一時(shí)間范圍內(nèi)曾經(jīng)出現(xiàn)在xDedic市場(chǎng)上的被感染服務(wù)器子網(wǎng)也全部包括在這一數(shù)據(jù)集中。
簡(jiǎn)而言之���,這些數(shù)據(jù)的真實(shí)性無(wú)法被證實(shí)��。所以�����,對(duì)于這些數(shù)據(jù)�����,我們應(yīng)當(dāng)采取懷疑的態(tài)度���。但是�����,卡巴斯基實(shí)驗(yàn)室的專家認(rèn)為有理由相信這些數(shù)據(jù)中至少有一部分是真實(shí)的�。所以�����,我們強(qiáng)烈建議廣大用戶檢查一下這些列表�����,不管您的服務(wù)器是否出現(xiàn)在列表中���。
這些dump數(shù)據(jù)還導(dǎo)致了另一個(gè)防線,即受感染服務(wù)器的市場(chǎng)價(jià)值���。在之前的文章中�����,我們?cè)?jīng)提到有些服務(wù)器的登陸憑證僅售6-8美元�����。但是�����,根據(jù)最新獲得的數(shù)據(jù)�����,有些服務(wù)器的登陸憑證售價(jià)高達(dá)6,000美元��,而且很可能這些服務(wù)器第一時(shí)間就會(huì)被售出�����。
在我們發(fā)布有關(guān)xDedic的公告后��,xDedic的網(wǎng)站很快被下線�����,這多虧了幾家主要ISP之間的合作。但是�,這并不表明這一事件已經(jīng)結(jié)束。還有很多問(wèn)題沒(méi)有得到解答�����。目前���,我們?nèi)圆磺宄@些數(shù)據(jù)來(lái)自哪里��。另外一點(diǎn)不明確的是這些IP地址中���,究竟還有多少服務(wù)器被感染。
