国产精品久av福利在线观看_亚洲一区国产精品_亚洲黄色一区二区三区_欧美成人xxxx_国产精品www_xxxxx欧美_国产精品久久婷婷六月丁香_国产特级毛片

 事件背景：
近日騰訊安全反病毒實(shí)驗(yàn)室捕獲了一系列通過郵件進(jìn)行傳播的攻擊。這次攻擊分為三個(gè)主要階段和其后不斷地變種攻擊，都是借助釣魚郵件的形式進(jìn)行傳播的。經(jīng)過我們的分析，這些攻擊是來自一個(gè)團(tuán)伙。
下圖這封郵件是第三次郵件釣魚攻擊中的一封郵件。

自7月24號(hào)起到7月31號(hào)，不法分子發(fā)起了三次攻擊，規(guī)模越來越大，作惡方式，技術(shù)手段也不斷更新。木馬作者為了不法利益，步步為營，機(jī)關(guān)算盡。并且，密切跟蹤發(fā)現(xiàn)，目前不法分子仍在不斷變換方式進(jìn)行攻擊，每日仍有大量木馬新變種被陸續(xù)發(fā)現(xiàn)。
下面我們將從事件概述，溯源分析，技術(shù)手法等方面對(duì)此次攻擊進(jìn)行介紹。
事件概述：
下圖展示的就是此次發(fā)現(xiàn)的攻擊的概況：

可見短短的一周事件，黑客就發(fā)起了三次攻擊，并且后續(xù)的攻擊仍在繼續(xù)中。
Trick Bot攻擊：
第一起發(fā)生在7月24號(hào)，規(guī)模較小，當(dāng)天有50多封釣魚郵件。攻擊是通過一個(gè)帶附件的郵件進(jìn)行傳播的。附件是一個(gè)wsf的腳本，運(yùn)行后會(huì)下載另外一個(gè)加密的腳本，并最終下載解密運(yùn)行可執(zhí)行文件。這個(gè)可執(zhí)行文件正是去年的一種銀行木馬，叫做Trick Bot。最終的目的就是注入瀏覽器，盜取用戶與銀行有關(guān)的信息和密碼。
Globelmposter707勒索：
第二起發(fā)生在7月27號(hào)，相比于第一次，這次規(guī)模更大，有600多封郵件。這次是通過運(yùn)行帶有宏的word文檔，來執(zhí)行惡意行為的。如果用戶電腦word開啟了宏，運(yùn)行word后會(huì)從C&C服務(wù)器下載樣本。最終用戶電腦會(huì)被全盤加密勒索，被加密文件后綴名為707，此次加密類型也包含了exe文件，這與之前發(fā)生的勒索加密有些差異。加密可執(zhí)行文件有可能導(dǎo)致用戶電腦程序無法打開或者崩潰，這對(duì)用戶危害更大，作惡手段也更惡劣。經(jīng)過調(diào)查，此類加密木馬是一類叫做Globelmposter的勒索病毒。

Globelmposter725勒索：
經(jīng)過前兩次的試探，7月31號(hào)，真正的較量拉開了序幕。此次攻擊規(guī)模非常大，共計(jì)有近3000封郵件，這次收到的是壓縮包，里面存放了vbs腳本，最終會(huì)通過腳本下載exe，并實(shí)現(xiàn)加密。這次加密后的后綴是725。彈出的勒索框與707是類似的。這兩次攻擊事件所使用的惡意樣本是一個(gè)勒索家族系列的。三次攻擊，黑客使用的發(fā)件人郵箱都是隨機(jī)生成的，沒有什么規(guī)律。

最新變種：
騰訊安全反病毒實(shí)驗(yàn)室密切關(guān)注此次事件，并且建立了同類木馬的監(jiān)控方案。通過監(jiān)控發(fā)現(xiàn)，進(jìn)入8月以后，木馬作者仍然在繼續(xù)通過郵件傳播的方式傳播木馬新型變種，變種木馬作惡流程與之前基本一致，只不過加密文件后的后綴發(fā)生了變化。目前陸續(xù)發(fā)現(xiàn)的新的加密后綴包括726、coded等多種類型。

影響范圍：
目前統(tǒng)計(jì)這次攻擊的國內(nèi)中毒地域分布，廣東和北京中招的用戶較多：

溯源僵尸網(wǎng)絡(luò)：
追蹤幕后黑手
下圖展示了三次攻擊的流程。

首先第二次和第三次的勒索方式，一個(gè)是707，一個(gè)是725，都是一類Globelmposter勒索病毒。彈出的勒索信息界面也極為相似。下圖中，左圖為707的勒索界面，右圖為725的勒索界面。

其次，在第一次和第三次的攻擊中，都有腳本文件，對(duì)比兩次的vb腳本，發(fā)現(xiàn)部分代碼的混淆方式也是一致的。


上圖第一幅是第一次攻擊事件的腳本部分混淆代碼，第二幅圖是第三次攻擊的代碼。由以上兩點(diǎn)可以推斷，是同一個(gè)團(tuán)伙作案。
分析攻擊的郵件主題和附件名稱，發(fā)現(xiàn)主題非常的簡(jiǎn)略，一般只有一句與payment或者Receipt有關(guān)提示性語句，同時(shí)附件名稱是開頭一個(gè)字母p，隨后跟著幾個(gè)數(shù)字的壓縮包，如p8843.zip。這些線索讓我們想起了臭名昭著的僵尸網(wǎng)絡(luò)——Necurs。
Necurs危害
Necurs是世界上最大的惡意僵尸網(wǎng)絡(luò)之一，甚至被稱為“惡意木馬傳播的基礎(chǔ)設(shè)施”，曾有多個(gè)惡意家族木馬的傳播被證明或懷疑與Necurs木馬構(gòu)建的僵尸網(wǎng)絡(luò)有關(guān)，包括臭名昭著的勒索病毒Locky、Jaff，以銀行憑證為主要目標(biāo)的木馬Dridex等。Necurs僵尸網(wǎng)絡(luò)發(fā)送的郵件主題與附件命名方式與這次攻擊也極為相似。Necurs不僅僅是一個(gè)垃圾郵件工具，它還具備rootkit能力和對(duì)抗殺軟的能力，一旦感染了用戶的機(jī)器就很難被清除掉。此外，Necurs實(shí)現(xiàn)了模塊化的設(shè)計(jì)，可以根據(jù)不同的任務(wù)而加載不同的惡意模塊，使得受害者的電腦被任意地操縱。下圖展示的是僵尸網(wǎng)絡(luò)與病毒之間的關(guān)系。

黑客通過各種方式控制全球范圍內(nèi)的一大批肉雞，組建一個(gè)僵尸網(wǎng)絡(luò)。“手里有糧,心里不慌”，有了這么大的資源后，黑客既可以把資源包裝后在黑產(chǎn)上出售，比如以服務(wù)的形式為病毒作者傳播勒索病毒，或者自立山頭，親自傳播勒索病毒，從中獲利。
同時(shí)也可以看到，發(fā)件人郵箱或者ip地址與真正的幕后黑手還有很遠(yuǎn)的距離，這也加大了安全工作人員追查幕后黑手的難度。
下圖顯示了感染Necurs病毒的ip數(shù)目趨勢(shì)圖，在7月中下旬有一輪爆發(fā)趨勢(shì)，正好與此次攻擊事件重合：

Necurs歷史

關(guān)于Necurs僵尸網(wǎng)絡(luò)最早的技術(shù)分析可以追溯到2012年，當(dāng)時(shí)微軟發(fā)布安全警告提醒用戶警惕Necurs木馬的傳播，并提到木馬用到了一些主動(dòng)關(guān)閉電腦安全防護(hù)措施的手段。在其后的一段時(shí)間內(nèi)，Necurs僵尸網(wǎng)絡(luò)主要被用于傳播Zeus、CryptoWall、Dridex、Locky等木馬。
2016年6月開始，Necurs僵尸網(wǎng)絡(luò)曾經(jīng)有一段長(zhǎng)時(shí)間的沉寂，監(jiān)控到的惡意流量一度下降超過九成。關(guān)于這次沉寂，安全專家有不同的猜測(cè)，有人認(rèn)為服務(wù)器遇到了技術(shù)故障或者已經(jīng)易主，也有人將其與當(dāng)時(shí)50名Lurk木馬開發(fā)者被捕聯(lián)系起來，認(rèn)為此僵尸網(wǎng)絡(luò)已經(jīng)失效。
不幸的是，不久之后，Necurs僵尸網(wǎng)絡(luò)又卷土重來，還帶來了許多新的惡意功能，比如更新了發(fā)動(dòng)DDoS攻擊的模塊，甚至還在股票市場(chǎng)上耍起了花招。2017年3月，大量虛假郵件通過Necurs僵尸網(wǎng)絡(luò)被發(fā)送出去，郵件并未攜帶惡意附件，而是假稱一家名為InCapta公司的股票有利可圖，建議進(jìn)行購買。

從消息發(fā)布后幾分鐘的截圖可以看出，股市的交易股票數(shù)量發(fā)生了大幅的增長(zhǎng)趨勢(shì)。安全人員推測(cè)，通過引誘很多人買入股票推高股價(jià)，可以使得某些幕后操縱者從中獲利。

從那以后，還有許多其它的木馬攻擊事件跟Necurs聯(lián)系在一起，例如Jaff和此次的GlobeImposter等。
Necurs木馬進(jìn)入受害者電腦的途徑，目前有大量的監(jiān)控證據(jù)指向那些自動(dòng)攻擊工具包，例如Blackhole Exploit pack、NuclearExploit kits、Angler Exploit kits等。在受害者查看惡意網(wǎng)頁時(shí)，這些工具包會(huì)分析受害者電腦上的漏洞，自動(dòng)給受害者發(fā)送對(duì)應(yīng)的漏洞利用代碼，然后利用這些漏洞將木馬悄悄下載到電腦上并運(yùn)行。

Necurs自身也有一定的傳播能力，比如通過移動(dòng)硬盤或者共享網(wǎng)絡(luò)資源傳播到其它電腦。此外，也有安全人員發(fā)現(xiàn)Necurs木馬捆綁在其它木馬中，或者通過郵件進(jìn)行傳播。
C&C服務(wù)器：
目前捕獲到的勒索病毒C&C服務(wù)器有上百個(gè)，并且都還處于活躍狀態(tài)。經(jīng)統(tǒng)計(jì)，C&C服務(wù)器的地理位置分布如下，可以看到大部分位于美國、法國等國家：

進(jìn)一步查詢發(fā)現(xiàn)，病毒作者注意隱藏自己的信息，服務(wù)器域名的注冊(cè)信息基本都處于保護(hù)狀態(tài)，無法追查到具體的個(gè)人。下圖列舉了部分C&C服務(wù)器上惡意payload的下載地址：

技術(shù)分析：
Trick Bot銀行木馬：
三次攻擊事件所使用的手法比較常見，這里進(jìn)行一個(gè)簡(jiǎn)要的分析。第一次攻擊是從wsf開始的，腳本運(yùn)行后用rundll32，去加載另外一個(gè)加密腳本

第二個(gè)腳本是一個(gè)混淆的VBScript，簡(jiǎn)單看一下，是從網(wǎng)上下載文件，解密后運(yùn)行

下載后，存到%Temp%\FPlljS.exeA,
用Key解密后釋放了可執(zhí)行%Temp%\FPlljS.exe，隨后病毒就會(huì)加載這個(gè)exe。這個(gè)可執(zhí)行文件就是之前出現(xiàn)的Trick Bot銀行木馬。下圖中最后一行的Shine函數(shù)，會(huì)調(diào)用后續(xù)的解密邏輯并加載解密后的惡意木馬。

Globelmposter707惡意勒索
雙擊運(yùn)行word文檔，啟動(dòng)后提示是否允許執(zhí)行宏代碼，點(diǎn)擊允許。通過開啟的行為監(jiān)控log，會(huì)發(fā)現(xiàn)winword進(jìn)程下載了名字為hurd8.exe的可執(zhí)行文件，并運(yùn)行，下載地址：http://tayangfood[.]com/hjbgtg67
進(jìn)程運(yùn)行后在%temp%目錄釋放.bat文件并執(zhí)行，bat用于刪除磁盤備份的卷宗，注冊(cè)表、系統(tǒng)事件日志等相關(guān)信息。

然后開始掃描電腦硬盤，對(duì)各個(gè)磁盤的exe、dll、sys、bmp、txt、ini等文件進(jìn)行加密，加密影響了電腦所有文檔類、圖片類文件的查看，以及第三方軟件可執(zhí)行文件也被加密，無法打開軟件。PE文件加密后不可執(zhí)行，因此排除了感染型的可能。

木馬加密過程比較漫長(zhǎng)，同時(shí)刻意保留了系統(tǒng)文件，保證用戶電腦可以正常開機(jī)，瀏覽網(wǎng)頁（方便后續(xù)繳納敲詐贖金）。在被加密的每個(gè)文件夾下，木馬會(huì)生成RECOVER-FILES.html網(wǎng)頁文件，打開后可以看到是真正的勒索頁面。


點(diǎn)擊按鈕Yes,I want to buy，會(huì)進(jìn)一步發(fā)送一些加密數(shù)據(jù)到黑客部署在暗網(wǎng)中的服務(wù)器，同時(shí)彈出最終的勒索界面。要求被害者在兩天內(nèi)支付0.2比特幣。

Globelmposter725惡意勒索：
針對(duì)后綴名725惡意勒索，Zip包內(nèi)是vbs，Vbs內(nèi)有下載PE的鏈接

下載回PE文件，會(huì)釋放一個(gè)敲詐勒索樣本，以下文件后綴會(huì)被加密：

將病毒樣本復(fù)制到Users目錄，寫注冊(cè)表啟動(dòng)項(xiàng)信息，并開機(jī)自啟動(dòng)，在temp目錄下創(chuàng)建bat批處理并啟動(dòng)

讀取資源，資源里存著加密過的敲詐勒索html信息，解密后的html文件顯示如下圖。


上圖展示的是加密部分，用的是RSA加密，加密完后的文件會(huì)在原文件名后添加.725

參考資料
1. https://intel.malwaretech.com/botnet/necurs/?t=24h&bid=all
2. https://securityintelligence.com/the-necurs-botnet-a-pandoras-box-of-malicious-spam
3. http://www.4hou.com/info/news/3944.html
4.https://twitter.com/MalwareTechLab/status/843760420989157378/photo/1
5.https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp-evolution-of-exploit-kits.pdf