欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

对一系列邮件攻击的分析与Necurs僵尸网络溯源

来源:本站整理 作者:佚名 时间:2017-08-18 TAG: 我要投稿
Necurs不仅仅是一个垃圾邮件工具,它还具备rootkit能力和对抗杀软的能力,一旦感染了用户的机器就很难被清除掉。此外,Necurs实现了模块化的设计,可以根据不同的任务而加载不同的恶意模块,使得受害者的电脑被任意地操纵。下图展示的是僵尸网络与病毒之间的关系。

黑客通过各种方式控制全球范围内的一大批肉鸡,组建一个僵尸网络。“手里有粮,心里不慌”,有了这么大的资源后,黑客既可以把资源包装后在黑产上出售,比如以服务的形式为病毒作者传播勒索病毒,或者自立山头,亲自传播勒索病毒,从中获利。
同时也可以看到,发件人邮箱或者ip地址与真正的幕后黑手还有很远的距离,这也加大了安全工作人员追查幕后黑手的难度。
下图显示了感染Necurs病毒的ip数目趋势图,在7月中下旬有一轮爆发趋势,正好与此次攻击事件重合:

Necurs历史

关于Necurs僵尸网络最早的技术分析可以追溯到2012年,当时微软发布安全警告提醒用户警惕Necurs木马的传播,并提到木马用到了一些主动关闭电脑安全防护措施的手段。在其后的一段时间内,Necurs僵尸网络主要被用于传播Zeus、CryptoWall、Dridex、Locky等木马。
2016年6月开始,Necurs僵尸网络曾经有一段长时间的沉寂,监控到的恶意流量一度下降超过九成。关于这次沉寂,安全专家有不同的猜测,有人认为服务器遇到了技术故障或者已经易主,也有人将其与当时50名Lurk木马开发者被捕联系起来,认为此僵尸网络已经失效。
不幸的是,不久之后,Necurs僵尸网络又卷土重来,还带来了许多新的恶意功能,比如更新了发动DDoS攻击的模块,甚至还在股票市场上耍起了花招。2017年3月,大量虚假邮件通过Necurs僵尸网络被发送出去,邮件并未携带恶意附件,而是假称一家名为InCapta公司的股票有利可图,建议进行购买。

从消息发布后几分钟的截图可以看出,股市的交易股票数量发生了大幅的增长趋势。安全人员推测,通过引诱很多人买入股票推高股价,可以使得某些幕后操纵者从中获利。

从那以后,还有许多其它的木马攻击事件跟Necurs联系在一起,例如Jaff和此次的GlobeImposter等。
Necurs木马进入受害者电脑的途径,目前有大量的监控证据指向那些自动攻击工具包,例如Blackhole Exploit pack、NuclearExploit kits、Angler Exploit kits等。在受害者查看恶意网页时,这些工具包会分析受害者电脑上的漏洞,自动给受害者发送对应的漏洞利用代码,然后利用这些漏洞将木马悄悄下载到电脑上并运行。

Necurs自身也有一定的传播能力,比如通过移动硬盘或者共享网络资源传播到其它电脑。此外,也有安全人员发现Necurs木马捆绑在其它木马中,或者通过邮件进行传播。
C&C服务器:
目前捕获到的勒索病毒C&C服务器有上百个,并且都还处于活跃状态。经统计,C&C服务器的地理位置分布如下,可以看到大部分位于美国、法国等国家:

进一步查询发现,病毒作者注意隐藏自己的信息,服务器域名的注册信息基本都处于保护状态,无法追查到具体的个人。下图列举了部分C&C服务器上恶意payload的下载地址:

技术分析:
Trick Bot银行木马:
三次攻击事件所使用的手法比较常见,这里进行一个简要的分析。第一次攻击是从wsf开始的,脚本运行后用rundll32,去加载另外一个加密脚本

第二个脚本是一个混淆的VBScript,简单看一下,是从网上下载文件,解密后运行

下载后,存到%Temp%\FPlljS.exeA,

上一页  [1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载