0
搞安全的童鞋可能對 Necurs 僵尸網絡并不陌生,很可能還想用盡畢生所學“摧毀”它。
最近,這個愿望似乎已經被微軟實現了。雷鋒網 3 月 11 日消息,微軟昨天宣布他們成功摧毀了 Necurs 僵尸網絡,該僵尸網絡已感染了全球超過 900 萬臺計算機,兩個月內產生了 380 萬封垃圾郵件,并劫持了其大部分基礎設施。
據外媒報道,此次微軟能夠破獲 Necurs 僵尸網絡得益于 35 個國家/地區的國際警察和私人科技公司協調行動的結果。
微軟表示,為了搗毀 Necurs ,他們破解了該僵尸網絡通過算法生成新域的技術——DGA 。
DGA ( Domain Generate Algorithm 域名生成算法)是一種使用時間,字典,硬編碼的常量利用一定的算法生成的域名。DGA 生成的域名具有為隨機性,用于中心結構的僵尸網絡中與 C&C 服務器的連接,以逃避域名黑名單檢測的技術。
攻擊者可通過運行算法生成 DGA 域名,然后隨機選擇其中的少量域名進行注冊,并將域名綁定到 C&C服務器。受害者的機器被植入惡意程序后運行 DGA 算法生成域名,并檢測域名是否可以連接,如果不能連接就嘗試下一個域名,如果可以連接就選取該域名作為該惡意程序的控制端服務器域名,而這一切到了僵尸網絡手里,你的電腦就會癱瘓,后果不可謂不嚴重。
所以,為了更徹底的摧毀 Necurs 僵尸網絡,微軟聯合 35 個國家破解了這一算法,并成功預測了未來 25 個月內該網絡可能創建的 600 萬個域,通報給全球各地的域名管理機構,預防將來遭到攻擊。此外,在法院命令的幫助下,微軟還接管了 Necurs 在美國的現有域,獲得了對美國基礎設施的控制,這些基礎設施用于分發惡意軟件和感染受害計算機。
微軟表示:“通過控制現有網站并抑制注冊新網站的能力,我們已經大大‘破壞’了僵尸網絡。”
值得一提的是,這一行動微軟策劃了八年。
在談 Necurs 僵尸網絡之前,雷鋒網先帶大家了解下僵尸網絡。
簡單的說,僵尸網絡指的是那些利用惡意代碼控制互聯網上的設備,讓他們像僵尸一樣失去了原本的“意識”,這些僵尸網絡在 C2 端(也就是控制者)的命令下統一行動,就組成了僵尸網絡。僵尸網絡的一個重要作用就是進行 DDoS 攻擊,也就是發動這些硬件對特定服務器同時發起訪問,造成對方網絡癱瘓,無法正常運行。
而在僵尸網絡的世界里,還盛行著一條“弱肉強食”的法則,誰手上控制的壯丁最多,誰就擁有最強大的“部隊”,可以在網絡世界里肆意殺伐,攻城略地。
一般操作是,惡意僵尸程序在全網進行掃描,一旦發現有漏洞的設備(電腦、硬件等等),就馬上入侵控制,把它納入僵尸大軍麾下,再以新的僵尸設備為跳板,繼續感染其他設備。這像極了僵尸片中病毒的指數級擴散模式。
這些僵尸大軍,少則有幾千臺設備,多則達到數百萬臺設備,這也就很容易理解為什么安全公司總在想辦法摧毀他們了。
再來看下微軟此次摧毀的 Necurs 僵尸網絡。
Necurs 僵尸網絡于 2012 年首次被發現,它由幾百萬臺受感染的設備組成,一直致力于分發銀行惡意軟件、加密劫持惡意軟件、勒索軟件以及每次運行時發送給數百萬收件人的各種電子郵件進行詐騙。在過去 八年里,Necurs 僵尸網絡已經發展成為全球最大的垃圾郵件傳播組織。
然而,Necurs 并不僅僅是一個垃圾郵件程序,它是一個模塊化的惡意軟件,包含了一個主僵尸網絡模塊、一個用戶級 Rootkit ,并且可以動態加載其它模塊。
2017 年,Necurs 開始活躍起來,其在傳播 Dridex 和 Locky 勒索軟件時被注意到,每小時可向全球計算機發送 500 萬封電子郵件。
【 圖片來源:freebuf 所有者:freebuf 】
研究人員在昨日發布的另一份報告中說:“從 2016 年到 2019 年,Necurs 是犯罪分子發送垃圾郵件和惡意軟件的最主要方法,利用電子郵件在全球傳播惡意軟件的 90% 都使用了這種方法。”
微軟說:“在 58 天的調查中,我們觀察到一臺感染 Necurs 的計算機發送了總共 380 萬封垃圾郵件,潛在的受害者多達 4060 萬。”
根據研究人員發布的最新統計數據,印度、印度尼西亞、土耳其、越南、墨西哥、泰國、伊朗、菲律賓和巴西是受到 Necurs 惡意軟件攻擊最多的國家。
不過,現在還有一點擔心是,互聯網世界里的僵尸有可能是打不盡的。
事實上,打擊僵尸網絡這件事是個持久戰,安全人員也一直在為此做努力,但無奈的是,僵尸網絡總是會再次卷土重來。
雷鋒網了解到, 2015 年 10 月,一次包含 FBI 和 NCA 在內的國際聯合行動摧毀了 Necurs 僵尸網絡,但是很快它又復活了,之后就主要用于傳播 Locky 勒索軟件。此后,在安全人員的控制下,Necurs 僵尸網絡 雖然有所“收斂”,但每隔一段時間似乎都有新的迭代版本出現。
2018 年 4 月,研究人員觀察到它將遠程訪問木馬 FlawedAmmyy 加入其功能模塊中。FlawedAmmyy是通過合法的遠程訪問工具 Ammyy Admin 進行木馬化的,與遠程桌面工具一樣,FlawedAmmyy 具有Ammyy Admin 的功能,包括遠程桌面控制,文件系統管理,代理支持和音頻聊天功能,Necurs 通過C&C 命令加入不同的模塊,竊取并發回用戶的信息,其中包括與設備相關的信息,比如計算機名稱、用戶 ID、操作系統信息、所安裝的殺毒軟件信息甚至惡意軟件構建時間、智能卡是否連接等。
2018 年 5 月下旬,研究人員發現了一些 Necurs 模塊,這些模塊不但泄露了電子郵件帳戶信息并將它們發送到 hxxp://185[.]176[.]221[.]24/l/s[.]php 。如果有人安裝并登錄到 Outlook,Outlook 就會創建一個目錄 “ %AppData%\Roaming\Microsoft\Outlook\ ”,該目錄將會存儲文件名中帶有電子郵件字符串的憑證。接著,該模塊將在文件名中搜索帶有電子郵件字符串的文件,然后將這些字符串返回。
2018 年 6月,研究人員看到 Necurs 推出一個 .NET 垃圾郵件模塊,該模塊能夠發送電子郵件并竊取來自 Internet Explorer,Chrome 和 Firefox 的登錄憑據,此 .NET 垃圾郵件模塊的某些功能部分與其中一個開源遠程訪問工具重疊。
而現在我們尚無法確定微軟此次的破壞成效,Necurs 是否還會卷土重來,所以,雷鋒網建議大家為避免被僵尸網絡攻擊,對于不明來源的電子郵件內容要非常小心,同樣對于不確定來源的安裝程序也要謹慎,要定期運行殺毒軟件。
參考資料:https://www.engadget.com/2020-03-10-microsoft-disrupts-necurs-botnet.html
https://thehackernews.com/2020/03/necurs-botnet-takedown.html
https://www.anquanke.com/post/id/84043
http://www.qcxyk.com/news/201705/MlHdzjjWbstmBZ6T.html
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
