【原】垃圾郵件僵尸網(wǎng)絡(luò)之王Necurs再添新功能

E安全 2020-09-01

展開全文

更多全球網(wǎng)絡(luò)安全資訊盡在E安全官網(wǎng)www.

E安全4月28日訊趨勢科技（Trend Micro）近日發(fā)現(xiàn),，世界上最大的垃圾郵件僵尸網(wǎng)絡(luò) Necurs 新變種現(xiàn)身，通過網(wǎng)絡(luò)快捷方式（.url）文件躲避檢測,。

此前為了躲避附件被檢測,，Necurs 曾使用包含 .ZIP 文件的存檔文件掩飾腳本下載程序，之后將該下載程序封裝在另一個(gè) .ZIP 文件中隱藏自己,。

Necurs 新變種

與以往 Necurs 變種不同的是,，新變種使用網(wǎng)絡(luò)快捷方式文件將惡意垃圾郵件發(fā)送至下載程序腳本。
然后,，這個(gè)腳本通過服務(wù)器消息塊（SMB）協(xié)議遠(yuǎn)程執(zhí)行,，以此躲避垃圾郵件過濾器的檢測。
該腳本會(huì)生成二級(jí)下載程序 Quant Loader（這是一個(gè)普通的惡意軟件家族）,，其目的是為了獲得 boot 持久性,，最后由這款下載程序下載最終更強(qiáng)大的 Payload。而僵尸網(wǎng)絡(luò)的運(yùn)營者很少使用這種簡單的垃圾郵件技術(shù),，并且一直依靠復(fù)雜的感染鏈,。

垃圾郵件僵尸網(wǎng)絡(luò)之王Necurs再添新功能：躲避檢測-E安全

Necurs先前的感染鏈

趨勢科技的研究人員指出，使用 Quant Loader 可能會(huì)達(dá)到事半功倍的效果,。首先,，這款下載程序在下載最終 Payload 之前會(huì)添加另一個(gè)下載階段，這樣做可以混淆并躲避行為檢測,。Quant Loader 具有持久性,，本身會(huì)釋放一個(gè)副本，并創(chuàng)建自動(dòng)運(yùn)行注冊(cè)表,，以便在啟動(dòng)時(shí)執(zhí)行,。

趨勢科技在報(bào)告表示，這起活動(dòng)背后的攻擊者也在運(yùn)用修改網(wǎng)絡(luò)快捷方式可點(diǎn)擊圖標(biāo)的能力,，從而誘騙受害者,，讓他們誤以為自己接收的是普通文件夾。在一個(gè)垃圾郵件樣本中,，攻擊者將一個(gè) URL 文件偽裝成語音郵件的 ZIP 文件,。

如果用戶接收的電子郵件附件中，包含下列所示這種快捷方式文件,，這種文件100%是惡意的,，千萬不要點(diǎn)開,。

垃圾郵件僵尸網(wǎng)絡(luò)之王Necurs再添新功能：躲避檢測-E安全

關(guān)于Necurs的簡要時(shí)間線

Necurs 被稱為“惡意木馬傳播的基礎(chǔ)設(shè)施”，曾有多個(gè)惡意家族木馬的傳播被證明或懷疑與 Necurs 木馬構(gòu)建的僵尸網(wǎng)絡(luò)有關(guān),，包括臭名昭著的勒索病毒 Locky,、Jaff，以銀行憑證為主要目標(biāo)的木馬 Dridex 等,。Necurs 不僅僅是一個(gè)垃圾郵件工具,，它還具備 rootkit 能力和對(duì)抗殺軟的能力，一旦感染了用戶的機(jī)器就很難被清除掉,。此外,，Necurs實(shí)現(xiàn)了模塊化的設(shè)計(jì)，可以根據(jù)不同的任務(wù)而加載不同的惡意模塊,，使得受害者的電腦被任意地操縱。

Necurs 是2012年左右出現(xiàn)的僵尸網(wǎng)絡(luò)惡意軟件,，自出現(xiàn)以來從未停止優(yōu)化更新的腳步,，數(shù)以百萬計(jì)的被感染計(jì)算機(jī)受其控制，每天有約一百萬設(shè)備活躍,。Necurs 多年來一直從事發(fā)送垃圾郵件的網(wǎng)絡(luò)犯罪活動(dòng),。

2017年

2017年，Necurs 僵尸網(wǎng)絡(luò)新增了 C&C 服務(wù)器通信能力,，可用來發(fā)動(dòng) DDoS 攻擊,。該模塊通過受感染的主機(jī)傳播惡意流量，主要通過HTTP,、SOCKSv4,、SOCKSv5協(xié)議實(shí)現(xiàn)。

邁克菲2018年3月發(fā)布報(bào)告稱,，在 2017 年的第四季度,，僵尸網(wǎng)絡(luò) Necurs 和 Gamut所發(fā)送的垃圾郵件占所有垃圾郵件的97％。在這段時(shí)間里,，Necurs 利用成人網(wǎng)站為誘餌為其傳送和轉(zhuǎn)儲(chǔ)方案,，提供勒索軟件的 POC。垃圾郵件的活動(dòng)率明顯比前兩個(gè)月略微降低,，但僵尸網(wǎng)絡(luò)依舊占所有垃圾郵件的 37％,，Necurs占比 60％，其中大部分電子郵件的域名都與以工作機(jī)會(huì)為主題的網(wǎng)絡(luò)釣魚和金錢欺詐有關(guān),。

2018年

2018年1月,，電子郵件和網(wǎng)絡(luò)安全公司 AppRiver 發(fā)布的博文稱，AppRiver 的 SecureTide 過濾器每天都會(huì)阻止多達(dá) 4700萬封來自Necurs僵尸網(wǎng)絡(luò)發(fā)送給AppRiver 客戶的垃圾電子郵件,，這些垃圾電子郵件被用于分發(fā)勒索軟件Locky和GlobeImposter,。

通常 Necurs 僵尸網(wǎng)路發(fā)出的這種垃圾郵件被稱為抽運(yùn)和轉(zhuǎn)儲(chǔ),，依賴于發(fā)送大量的垃圾郵件來促進(jìn)用戶對(duì)特定的低價(jià)股票的興趣，垃圾郵件發(fā)送者預(yù)先以低價(jià)購買股票,，當(dāng)垃圾郵件活動(dòng)抬高價(jià)格時(shí),，則以較高的價(jià)格出售股票。

2018年1月,，Necurs 僵尸網(wǎng)絡(luò)發(fā)出數(shù)百萬封垃圾郵件,，第一次通過大型垃圾郵件活動(dòng)宣傳一種鮮為人知的加密貨幣 Swisscoin 加密貨幣，而不是像往常一樣推送低價(jià)股票,，最終導(dǎo)致 Swisscoin 損失了最初交易價(jià)格的40％ ,。