在最鼎盛时期，这个恶意软件集团控制了50万台电脑，通过击键记录获取银行密码，然后将电脑放入僵尸网络中工作。通过缓慢的发展和领先于杀毒软件一步，该组织得以多年不被发现——直到其自身的安全漏洞让一位名叫韦恩·黄（Wayne Huang）的Proofpoint安全研究员从内部了解了该组织。

今天上午，黄光裕发布了一份调查结果报告，罕见地全面剖析了一次恶意软件操作，从第一次安全漏洞到给他们带来回报的欺诈手段。这不是一个特别新颖或复杂的计划-按照僵尸网络的标准，50万是大联盟的低端-但它提供了一个新的窗口，了解这些团体用来隐藏的复杂战术。对于任何从网站或控制台看到奇怪行为的人来说，这提醒我们，真正的感染往往比你想象的更难发现。”他们很少大规模注射。他们不做大规模的活动，所以他们不在人们的雷达上，”黄说但一旦他们进来，他们就会建立一个非常强大的后门。”

骗子们的第一步是在黑暗的网络上购买密码，为先前的一次泄露支付数据。这让他们在第一批网站中站稳了脚跟，该集团可以在那里安装自己的自定义shell，让他们可以访问网站上的任何内容，同时允许网站所有者像往常一样更新网站。当系统运行时，网站所有者从不知道其中的区别。他们仍然有管理员权限，而且没有明显的迹象表明添加了另一个更强大的管理员。当网站所有者像往常一样发布信息时，攻击者会利用新的后门感染网站的读者，向网站代码中注入大量恶意软件。从那里，攻击者将监控银行登录信息的按键，用于彻头彻尾的欺诈，并向任何想通过陌生人的互联网连接来伪装其网络流量的人**被劫持计算机网络的访问权。

这个小组总是比杀毒软件更新早一步

大多数受感染的网站都在运行定期的防病毒扫描，但攻击者只小心使用不会引发任何警报的漏洞。在他们上传任何代码之前，他们会对照Scan4U数据库进行检查，Scan4U数据库收集了数十家反病毒公司的数据。如果数据库识别出该组的漏洞，他们将更改代码，直到它悄悄溜走，确保他们总是比防病毒更新提前一步。

他们还采取了一些措施，把黄某这样的研究人员排除在外。如果一个网站访问者看起来像一个自动恶意软件扫描器，流量分配系统会隔离访问者，并将他们路由到一个干净的网站版本，这表明没有任何问题。该系统还保存了一份由安全研究公司使用的IP地址列表，并确保来自这些地址的任何流量也能到达干净的站点。因此，许多网站所有者面对黄拒绝相信他们被感染了。反病毒扫描结果将是空的，大多数独立研究人员将看到一个完全干净的网站。

不过，虽然黑客的安全保护措施很好，但并不完美。黄的突破来自于他找到了攻击者控制面板的网址。他们没有想过要用密码来保护控制装置，所以一旦黄找到了它，他就了解了小组正在做的每件事，包括他们用来把其他研究人员赶跑的反措施。最终，该组织增加了一个密码，将黄某拒之门外，但当时为时已晚。

一旦攻击者开始以个人用户为目标，他们就严重依赖预先购买的漏洞攻击工具包，从流行的黑洞工具包开始，再到甜橙和凤凰城等较新的工具包。他们使用了一系列漏洞——针对PDF插件、Java、Flash和Internet Explorer，具体取决于用户的独特漏洞——但该组织几乎将所有这些工作都留给了其他人，在漏洞可用时购买漏洞，在补丁变得更为常见时放弃漏洞。

“我们有很多不开心的网站管理员。”

尽管如此，尽管黄怒波对这个组织的所有细节，他们也不太可能很快被绳之以法。把网络追溯到个人身上还有很多工作要做，目前还不清楚谁愿意插手。拆除僵尸网络是一个众所周知的漫长而漫长的过程，虽然俄罗斯执法部门近年来已经取得了一些重大进展，但它可能不会对这么大的装备留下深刻印象。黄先生最希望的是，下次告诉某网站他发现了感染时，他会更加自信一点。”“我们得到了很多不高兴的网站管理员谁相信我们已经诬陷他们感染，”黄说所以我们当然希望那些人能读到这份报告”

更广泛地说，这标志着网络安全还有多远的路要走。研究人员对诸如Heartbleed之类的漏洞给予了大量关注，Heartbleed为攻击者提供了最初的立足点，而流行软件中的漏洞则让攻击者利用个别用户进行攻击。但像这样的持续感染常常被忽视。因此，一旦攻击者将后门构建到服务器或站点中，正确的所有者可能需要数年时间才能重新获得控制权。对于报告中详述的50万台电脑来说，这是一个令人不安的想法。