欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

对一系列邮件攻击的分析与Necurs僵尸网络溯源

来源:本站整理 作者:佚名 时间:2017-08-18 TAG: 我要投稿

事件背景:
近日腾讯安全反病毒实验室捕获了一系列通过邮件进行传播的攻击。这次攻击分为三个主要阶段和其后不断地变种攻击,都是借助钓鱼邮件的形式进行传播的。经过我们的分析,这些攻击是来自一个团伙。
下图这封邮件是第三次邮件钓鱼攻击中的一封邮件。

自7月24号起到7月31号,不法分子发起了三次攻击,规模越来越大,作恶方式,技术手段也不断更新。木马作者为了不法利益,步步为营,机关算尽。并且,密切跟踪发现,目前不法分子仍在不断变换方式进行攻击,每日仍有大量木马新变种被陆续发现。
下面我们将从事件概述,溯源分析,技术手法等方面对此次攻击进行介绍。
事件概述:
下图展示的就是此次发现的攻击的概况:

可见短短的一周事件,黑客就发起了三次攻击,并且后续的攻击仍在继续中。
Trick Bot攻击:
第一起发生在7月24号,规模较小,当天有50多封钓鱼邮件。攻击是通过一个带附件的邮件进行传播的。附件是一个wsf的脚本,运行后会下载另外一个加密的脚本,并最终下载解密运行可执行文件。这个可执行文件正是去年的一种银行木马,叫做Trick Bot。最终的目的就是注入浏览器,盗取用户与银行有关的信息和密码。
Globelmposter707勒索:
第二起发生在7月27号,相比于第一次,这次规模更大,有600多封邮件。这次是通过运行带有宏的word文档,来执行恶意行为的。如果用户电脑word开启了宏,运行word后会从C&C服务器下载样本。最终用户电脑会被全盘加密勒索,被加密文件后缀名为707,此次加密类型也包含了exe文件,这与之前发生的勒索加密有些差异。加密可执行文件有可能导致用户电脑程序无法打开或者崩溃,这对用户危害更大,作恶手段也更恶劣。经过调查,此类加密木马是一类叫做Globelmposter的勒索病毒。

Globelmposter725勒索:
经过前两次的试探,7月31号,真正的较量拉开了序幕。此次攻击规模非常大,共计有近3000封邮件,这次收到的是压缩包,里面存放了vbs脚本,最终会通过脚本下载exe,并实现加密。这次加密后的后缀是725。弹出的勒索框与707是类似的。这两次攻击事件所使用的恶意样本是一个勒索家族系列的。三次攻击,黑客使用的发件人邮箱都是随机生成的,没有什么规律。

最新变种:
腾讯安全反病毒实验室密切关注此次事件,并且建立了同类木马的监控方案。通过监控发现,进入8月以后,木马作者仍然在继续通过邮件传播的方式传播木马新型变种,变种木马作恶流程与之前基本一致,只不过加密文件后的后缀发生了变化。目前陆续发现的新的加密后缀包括726、coded等多种类型。

影响范围:
目前统计这次攻击的国内中毒地域分布,广东和北京中招的用户较多:

溯源僵尸网络:
追踪幕后黑手
下图展示了三次攻击的流程。

首先第二次和第三次的勒索方式,一个是707,一个是725,都是一类Globelmposter勒索病毒。弹出的勒索信息界面也极为相似。下图中,左图为707的勒索界面,右图为725的勒索界面。

其次,在第一次和第三次的攻击中,都有脚本文件,对比两次的vb脚本,发现部分代码的混淆方式也是一致的。


上图第一幅是第一次攻击事件的脚本部分混淆代码,第二幅图是第三次攻击的代码。由以上两点可以推断,是同一个团伙作案。
分析攻击的邮件主题和附件名称,发现主题非常的简略,一般只有一句与payment或者Receipt有关提示性语句,同时附件名称是开头一个字母p,随后跟着几个数字的压缩包,如p8843.zip。这些线索让我们想起了臭名昭著的僵尸网络——Necurs。
Necurs危害
Necurs是世界上最大的恶意僵尸网络之一,甚至被称为“恶意木马传播的基础设施”,曾有多个恶意家族木马的传播被证明或怀疑与Necurs木马构建的僵尸网络有关,包括臭名昭著的勒索病毒Locky、Jaff,以银行凭证为主要目标的木马Dridex等。Necurs僵尸网络发送的邮件主题与附件命名方式与这次攻击也极为相似。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载