国际组织联合执法 摧毁并关闭Andromeda/Gamarue僵尸网络

全球执法机构和私营领域成员在今天宣布，关闭Andromeda（Gamarue或Wauchos）僵尸网络，查获7个C&C服务器、1500个域名、21或80个恶意软件家族。

打击行动发生在2017年11月29日星期三。参与行动的执法机构包括美国联邦调查局（Federal Bureau of Investigation，FBI）、德国卢内堡中央刑事调查局（Luneburg Central Criminal Investigation Inspectorate）、欧洲刑警组织的欧洲网络犯罪中心（European Cybercrime Centre，EC3）、联合网络犯罪行动特别工作组（Joint Cybercrime Action Task Force，J-CAT）和欧洲司法组织（Eurojust）。

私营领域合作者也提供了大量帮助，包括：

• -Shadowserver基金会
• -微软
• -ESET
• -最后注册人（Registrar of Last Resort）
• -互联网名称与数字地址分配机构（Internet Corporation for Assigned Names and Numbers，ICANN）和相关域名注册机构
• -弗劳恩霍夫通信、信息处理和人机工程学研究院（Fraunhofer Institute for Communication, Information Processing and Ergonomics，FKIE）
• -德国联邦信息安全办公室（German Federal Office for Information Security，BSI）

什么是Andromeda僵尸网络

Andromeda（Gamarue或Wauchos）被用来描述感染同名恶意软件的计算机所组成的 僵尸网络 。

根据微软（2015）、G Data（2016）、Fortinet（2016）和ESET（2017）的报告，该僵尸网络在2011年首次露面，并且在近年来持续扩大。在此期间，Andromeda的操作者利用这个僵尸网络发送能感染新用户的 垃圾邮件 ，保持僵尸网络的活跃状态，同时还向已感染用户发送第二阶段的 恶意软件 。 这种策略让Andromeda的拥有者能通过将僵尸网络租给其他骗子而获利。

根据微软收集到的遥测数据，在被关闭前的六个月内，Andromeda僵尸网络向受害者发送了80个不同的恶意软件族。微软表示，在此期间，每个月平均有一百万台电脑感染Andromeda恶意软件。

Andromeda与Avalanche行动有关联

Andromeda在该日期被关闭并不是一个偶然事件。 打击行动发生的日期，恰好是在同一组执法机构和私营领域合作者取缔了名为Avalanche的恶意软件分发基础设施一年之后。Avalanche是一个服务器和相邻服务网络，这个网络托管了21个恶意软件族的分发基础设施。

根据欧洲刑警组织和Shadow基金会的说法，当局在去年发布新闻稿时，未公布Andromeda被托管在Avalanche网络上的任何细节。 他们故意在新闻稿中排除了任何与Andromeda相关的内容，以便继续监控该僵尸网络， 并收集打击该僵尸网络所需的更多信息。 数年来，当局已尝试过打击该僵尸网络，但由于数据不足而失败。

Andromeda作者被捕

他们很好地利用了这次收集的数据。 首先， 欧洲刑警组织 说，警方逮捕了疑为Andromeda创建者的一名白俄罗斯男子。如果不是事先设下了圈套，很难抓到嫌疑人。

另外，调查人员还表示，他们还扣押并下线（sinkhole）了Andromeda用来管理僵尸网络的7个主要命令与控制（C&C）服务器，并查获了超过1500个曾被用来短时间托管这些服务器的域名。

这些服务器管理了超过460个小型Andromeda僵尸网络，是很重要的服务器。 这种松散的结构，也是当局在过去无法取缔Andromeda的主要原因之一。当局总是漏过少量的服务器，却已经足够让Andromeda的作者重新开始了。

当局沉没C&C服务器后的头48小时的数据展现了Andromeda在全球巨大的规模。 据报道，在这48个小时中，Andromeda在223个国家感染了用户，并且超过200万被感染机器尝试连接被下线的7个C&C服务器。

虽然 Necurs僵尸网络 仍然是世界最大僵尸网络并保持领先地位，Andromeda已经以每个月约5、6百万肉机的规模成为市面上最大的僵尸网络之一。今天早些时候，Shadow基金会和ESET发布了Andromeda基础设施的技术报告。