欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

对一系列邮件攻击的分析与Necurs僵尸网络溯源

来源:本站整理 作者:佚名 时间:2017-08-18 TAG: 我要投稿

用Key解密后释放了可执行%Temp%\FPlljS.exe,随后病毒就会加载这个exe。这个可执行文件就是之前出现的Trick Bot银行木马。下图中最后一行的Shine函数,会调用后续的解密逻辑并加载解密后的恶意木马。

Globelmposter707恶意勒索
双击运行word文档,启动后提示是否允许执行宏代码,点击允许。通过开启的行为监控log,会发现winword进程下载了名字为hurd8.exe的可执行文件,并运行,下载地址:http://tayangfood[.]com/hjbgtg67
进程运行后在%temp%目录释放.bat文件并执行,bat用于删除磁盘备份的卷宗,注册表、系统事件日志等相关信息。

然后开始扫描电脑硬盘,对各个磁盘的exe、dll、sys、bmp、txt、ini等文件进行加密,加密影响了电脑所有文档类、图片类文件的查看,以及第三方软件可执行文件也被加密,无法打开软件。PE文件加密后不可执行,因此排除了感染型的可能。

木马加密过程比较漫长,同时刻意保留了系统文件,保证用户电脑可以正常开机,浏览网页(方便后续缴纳敲诈赎金)。在被加密的每个文件夹下,木马会生成RECOVER-FILES.html网页文件,打开后可以看到是真正的勒索页面。


点击按钮Yes,I want to buy,会进一步发送一些加密数据到黑客部署在暗网中的服务器,同时弹出最终的勒索界面。要求被害者在两天内支付0.2比特币。

Globelmposter725恶意勒索:
针对后缀名725恶意勒索,Zip包内是vbs,Vbs内有下载PE的链接

下载回PE文件,会释放一个敲诈勒索样本,以下文件后缀会被加密:

将病毒样本复制到Users目录,写注册表启动项信息,并开机自启动,在temp目录下创建bat批处理并启动

读取资源,资源里存着加密过的敲诈勒索html信息,解密后的html文件显示如下图。


上图展示的是加密部分,用的是RSA加密,加密完后的文件会在原文件名后添加.725

参考资料
1. https://intel.malwaretech.com/botnet/necurs/?t=24h&bid=all
2. https://securityintelligence.com/the-necurs-botnet-a-pandoras-box-of-malicious-spam
3. http://www.4hou.com/info/news/3944.html
4.https://twitter.com/MalwareTechLab/status/843760420989157378/photo/1
5.https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp-evolution-of-exploit-kits.pdf
 

上一页  [1] [2] [3] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载