虽然称之为“脑部食物”，但并不是健康业务欺诈本身。
只是因为被用于脑部食物的垃圾邮件，所以被取名为Brain Food。
请停止使用令人难以搜索的命名方式。

以下是Brain Food僵尸网络给网站运营者带来困扰的日语翻译。

脑食物僵尸网络让网站运营商感到头疼。

概述

Proofpoint的研究人员今年正在追踪数千个被黑客攻击的Web服务器上运行的僵尸网络。该僵尸网络被称为”脑力食粮”，因为它被用作发送垃圾邮件的平台，并试图销售假减肥药和智力增强药等产品。

Brain Food是一个由PHP编写的脚本，我们发现它在过去的四个月中感染了超过5000个网站。其中超过2400个网站在最近七天内仍然活跃。

如图1所示，有40%的受害网站是由五个平台进行托管的。
我们向Go Daddy举报了有关Brain Food的问题，并讨论了解决方法。

在各个网络站点中，可能会有多个PHP脚本在运行。
这些脚本可能会感染各种类型的CMS，如WordPress和Joomla。

大脑粮通常会从URL缩短服务上进行重定向。
上周，这些垃圾邮件使用的重定向URL超过了7300个。
其中55%使用了goo.gl，剩下的45%使用了bit.ly。

根据图2所示，除了2018年4月下旬的两周之外，这种模式是一贯的。
由于Google在4月13日停止对非注册用户提供goo.gl服务，因此垃圾邮件发送者几乎将大部分链接转到bit.ly以维持垃圾邮件的总量。
然而，到4月底，垃圾邮件发送者似乎找到了规避Google限制的方法，两个缩短服务的使用比例恢复到了以前的水平。

为了让你点击链接，发送的邮件没有主题，只包含每封邮件都不同的简单问候。

最後的落地页目前正在宣传减肥药。
以前，它被重定向到宣传吃了会变聪明的补充剂的页面。

大部分的着陆页都是模仿品牌页面的，声称该产品在《鲨鱼池》等受欢迎的电视节目中被介绍。图4是模仿《娱乐之日》的一个着陆页示例。

分析

为了避免研究人员和搜索引擎爬虫的检测，这个脚本有一些防御层。
代码是多态的，并且经过多重的BASE64混淆。
最近上传到恶意软件库的版本无法被反病毒软件检测到。
对于爬虫，它会将其重定向到正确的页面，或者等待5秒后再重定向到感染网站，或者让其等待而不返回任何内容，或者重定向到Unicef的网站。

黑客可以通过命令和控制（C＆C）服务器分析统计数据，并将僵尸网络的目标切换到新的着陆页面，还可以将特定的URL加入黑名单中。该脚本还包含了隐匿代码，可以使其在Google等搜索引擎中不可见。

    if(strpos($_SERVER['HTTP_USER_AGENT'],'Google') !== false) { 
        header('HTTP/1.0 404 Not Found'); 
        exit; 
    } 

经调查发现，每个样本都使用了两个C&C服务器之一。分别是：prostodomen1.com（91.236.116.14）和thptlienson.com（145.239.1.13）。
由于我们的调查开始，垃圾邮件发送者开始在相同的IP地址下使用hostcommets.com和sentacomra.com。
第一个IP地址注册在马恩岛的ASN，但显然是一个虚假的公司。
第二个IP地址是一个全球知名的托管服务提供商所托管的。

有一种后门可以远程执行Shell命令。
在允许PHP的system命令的Web服务器上，可能会执行Shell命令。

结论 (jié

根据美国联邦贸易委员会的数据，假减肥药是最常见的欺诈商品类型，每年造成数亿美元的直接损失。Brain Food机器人网络通过在防御方和搜索引擎采取措施之前迅速更换着陆页面和URL缩短服务，获得了高度的灵活性和精密性。像往常一样，优秀的电子邮件垃圾过滤和ISP级别的保护是对这类欺诈的重要防范措施。

入侵指标 (IOCs)

意见固然很重要，但表达个人的感受更让人留下深刻印象。

因为没有具体的细节，所以连是否真实都无法确定。
尤其是服务器方面，如何检测感染，应该采取什么对策，感染会从哪里开始，这些完全不清楚。

看了被提及的WordPress之后，我发现发布说明中最新版本是在2018年5月17日更新的4.9.6版，但似乎没有与Brain Food相关的描述。
在代码库和CVE中也没有找到类似的东西。
难道不是通过系统核心的漏洞感染的吗？

后来我对”多层Base64编码”导致的混淆没有理解。

Proofpoint有其在日本的子公司和日文网站，但遗憾的是，其技术博客似乎从2017年7月起就停止更新了。

虽然这与停止不相关，但自2017年10月起该无线装置的声音没有更新，感到很寂寞。