BlackTDS：新型恶意软件流量分配系统

2018 年 3 月 19 日 E安全 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com

E安全3月19日讯据 Proofpoint 研究人员披露，暗网上浮现传播恶意软件的新型流量分配系统（简称TDS），研究人员将其命名为“BlackTDS”。自2017年12月底以来 BlackTDS 的“主人”一直在地下市场宣传推广，自诩能以经济实惠的方式部署攻击工具包（EK）和恶意软件。

BlackTDS提供哪些服务？

宣传广告显示，BlackTDS 能提供各种服务，并将其统称为 Cloud TDS，BlackTDS 的“主人”声称 Cloud TDS 可以处理社会工程问题，并重定向至 EK，同时防止被研究人员和沙盒发现。

BlackTDS 是一款 TDS 即服务产品，这种服务的功能通常不如其它 TDS 服务全面。它要求威胁攻击者将自己的流量导向 BlackTDS，BlackTDS 承诺使用受害者的资料数据优化其感染用户的攻击工具包或恶意软件。

BlackTDS: 路过式攻击即服务-E安全

传播恶意软件

流量分配系统充当的是“经纪人”的角色，它可以在网站之间买卖流量。这类系统根据用户的浏览器、IP地址、地理位置和用户代理数据过滤流量，从而创造价值。当用户点击TDS链中的链接时，这类系统会根据其个人资料秘密重定向到恶意网页。TDS 系统因帮助犯罪分子通过攻击工具和虚假的下载传播基于 Web 的恶意软件而变得臭名昭著。

可扩展性+价格实惠+部署简单=降低黑客门槛

Proofpoint 表示，他们多次发现 BlackTDS 的感染链，它通过虚假的软件更新和其它社会工程方案传播恶意软件。BlackTDS 似乎具有高度的可扩展性，并且易于部署，极大降低了黑客的门槛，Cloud TDS 也相对比较便宜，起步价为：

6美元/1天；

45美元/10天；

90美元包月。

Cloud TDS 在广告中宣称，基于非滥用型的 Cloacking antibot TDS 每天只需3美元，无需使用自己的服务器接收流量。这相当于暗网上的现成流量解决方案。

黑客攻击服务趋势日益凸显

Proofpoint 表示，恶意软件即服务越来越多见。在这起案例中，CloudTDS 提供的服务包括托管并配置复杂路过式下载的组件。BlackTDS 成本低、访问轻松以及相对具有匿名性，这些都大大降低了传播 Web 恶意软件的门槛。由于支持社会工程，并且采用了直接传播恶意软件或简单将受害者重定向至 EK 着陆页等灵活方式，BlackTDS 凸显出犯罪软件即服务逐渐趋于成熟。

这项服务允许威胁攻击者选择恶意软件或 EK API，然后处理恶意软件传播的后续事宜。

Proofpoint 威胁运营副总裁凯文·艾珀斯坦解释称，实际的重定向、过滤和托管社会工程模板以及路过式攻击后面向用户的机制统统由这个基于云的服务一手处理。威胁攻击者只需提供流量、Payload 或 EK 访问权。

Proofpoint 提到一个案例，威胁攻击者TA505 2018年2月19日就曾使用 BlackTDS 服务发起大规模垃圾邮件活动。TA505 向用户发送的垃圾邮件中包含 PDF 附件，其中包含指向 BlackTDS 链的链接。

Proofpoint指出，基于 Web 的攻击链日益融合社会工程，并利用现有的底层基础设施和人为错误。