事件背景:
近日騰訊安全反病毒實驗室捕獲了一系列通過郵件進行傳播的攻擊。這次攻擊分為三個主要階段和其后不斷地變種攻擊,都是借助釣魚郵件的形式進行傳播的。經過我們的分析,這些攻擊是來自一個團伙。
下圖這封郵件是第三次郵件釣魚攻擊中的一封郵件。
自7月24號起到7月31號,不法分子發起了三次攻擊,規模越來越大,作惡方式,技術手段也不斷更新。木馬作者為了不法利益,步步為營,機關算盡。并且,密切跟蹤發現,目前不法分子仍在不斷變換方式進行攻擊,每日仍有大量木馬新變種被陸續發現。
下面我們將從事件概述,溯源分析,技術手法等方面對此次攻擊進行介紹。
事件概述:
下圖展示的就是此次發現的攻擊的概況:
可見短短的一周事件,黑客就發起了三次攻擊,并且后續的攻擊仍在繼續中。
Trick Bot攻擊:
第一起發生在7月24號,規模較小,當天有50多封釣魚郵件。攻擊是通過一個帶附件的郵件進行傳播的。附件是一個wsf的腳本,運行后會下載另外一個加密的腳本,并最終下載解密運行可執行文件。這個可執行文件正是去年的一種銀行木馬,叫做Trick Bot。最終的目的就是注入瀏覽器,盜取用戶與銀行有關的信息和密碼。
Globelmposter707勒索:
第二起發生在7月27號,相比于第一次,這次規模更大,有600多封郵件。這次是通過運行帶有宏的word文檔,來執行惡意行為的。如果用戶電腦word開啟了宏,運行word后會從C&C服務器下載樣本。最終用戶電腦會被全盤加密勒索,被加密文件后綴名為707,此次加密類型也包含了exe文件,這與之前發生的勒索加密有些差異。加密可執行文件有可能導致用戶電腦程序無法打開或者崩潰,這對用戶危害更大,作惡手段也更惡劣。經過調查,此類加密木馬是一類叫做Globelmposter的勒索病毒。
Globelmposter725勒索:
經過前兩次的試探,7月31號,真正的較量拉開了序幕。此次攻擊規模非常大,共計有近3000封郵件,這次收到的是壓縮包,里面存放了vbs腳本,最終會通過腳本下載exe,并實現加密。這次加密后的后綴是725。彈出的勒索框與707是類似的。這兩次攻擊事件所使用的惡意樣本是一個勒索家族系列的。三次攻擊,黑客使用的發件人郵箱都是隨機生成的,沒有什么規律。
最新變種:
騰訊安全反病毒實驗室密切關注此次事件,并且建立了同類木馬的監控方案。通過監控發現,進入8月以后,木馬作者仍然在繼續通過郵件傳播的方式傳播木馬新型變種,變種木馬作惡流程與之前基本一致,只不過加密文件后的后綴發生了變化。目前陸續發現的新的加密后綴包括726、coded等多種類型。
影響范圍:
目前統計這次攻擊的國內中毒地域分布,廣東和北京中招的用戶較多:
溯源僵尸網絡:
追蹤幕后黑手
下圖展示了三次攻擊的流程。
首先第二次和第三次的勒索方式,一個是707,一個是725,都是一類Globelmposter勒索病毒。彈出的勒索信息界面也極為相似。下圖中,左圖為707的勒索界面,右圖為725的勒索界面。
其次,在第一次和第三次的攻擊中,都有腳本文件,對比兩次的vb腳本,發現部分代碼的混淆方式也是一致的。
上圖第一幅是第一次攻擊事件的腳本部分混淆代碼,第二幅圖是第三次攻擊的代碼。由以上兩點可以推斷,是同一個團伙作案。
分析攻擊的郵件主題和附件名稱,發現主題非常的簡略,一般只有一句與payment或者Receipt有關提示性語句,同時附件名稱是開頭一個字母p,隨后跟著幾個數字的壓縮包,如p8843.zip。這些線索讓我們想起了臭名昭著的僵尸網絡——Necurs。
Necurs危害
Necurs是世界上最大的惡意僵尸網絡之一,甚至被稱為“惡意木馬傳播的基礎設施”,曾有多個惡意家族木馬的傳播被證明或懷疑與Necurs木馬構建的僵尸網絡有關,包括臭名昭著的勒索病毒Locky、Jaff,以銀行憑證為主要目標的木馬Dridex等。Necurs僵尸網絡發送的郵件主題與附件命名方式與這次攻擊也極為相似。Necurs不僅僅是一個垃圾郵件工具,它還具備rootkit能力和對抗殺軟的能力,一旦感染了用戶的機器就很難被清除掉。此外,Necurs實現了模塊化的設計,可以根據不同的任務而加載不同的惡意模塊,使得受害者的電腦被任意地操縱。下圖展示的是僵尸網絡與病毒之間的關系。
黑客通過各種方式控制全球范圍內的一大批肉雞,組建一個僵尸網絡。“手里有糧,心里不慌”,有了這么大的資源后,黑客既可以把資源包裝后在黑產上出售,比如以服務的形式為病毒作者傳播勒索病毒,或者自立山頭,親自傳播勒索病毒,從中獲利。
同時也可以看到,發件人郵箱或者ip地址與真正的幕后黑手還有很遠的距離,這也加大了安全工作人員追查幕后黑手的難度。
下圖顯示了感染Necurs病毒的ip數目趨勢圖,在7月中下旬有一輪爆發趨勢,正好與此次攻擊事件重合:
Necurs歷史
關于Necurs僵尸網絡最早的技術分析可以追溯到2012年,當時微軟發布安全警告提醒用戶警惕Necurs木馬的傳播,并提到木馬用到了一些主動關閉電腦安全防護措施的手段。在其后的一段時間內,Necurs僵尸網絡主要被用于傳播Zeus、CryptoWall、Dridex、Locky等木馬。
2016年6月開始,Necurs僵尸網絡曾經有一段長時間的沉寂,監控到的惡意流量一度下降超過九成。關于這次沉寂,安全專家有不同的猜測,有人認為服務器遇到了技術故障或者已經易主,也有人將其與當時50名Lurk木馬開發者被捕聯系起來,認為此僵尸網絡已經失效。
不幸的是,不久之后,Necurs僵尸網絡又卷土重來,還帶來了許多新的惡意功能,比如更新了發動DDoS攻擊的模塊,甚至還在股票市場上耍起了花招。2017年3月,大量虛假郵件通過Necurs僵尸網絡被發送出去,郵件并未攜帶惡意附件,而是假稱一家名為InCapta公司的股票有利可圖,建議進行購買。
從消息發布后幾分鐘的截圖可以看出,股市的交易股票數量發生了大幅的增長趨勢。安全人員推測,通過引誘很多人買入股票推高股價,可以使得某些幕后操縱者從中獲利。
從那以后,還有許多其它的木馬攻擊事件跟Necurs聯系在一起,例如Jaff和此次的GlobeImposter等。
Necurs木馬進入受害者電腦的途徑,目前有大量的監控證據指向那些自動攻擊工具包,例如Blackhole Exploit pack、NuclearExploit kits、Angler Exploit kits等。在受害者查看惡意網頁時,這些工具包會分析受害者電腦上的漏洞,自動給受害者發送對應的漏洞利用代碼,然后利用這些漏洞將木馬悄悄下載到電腦上并運行。
Necurs自身也有一定的傳播能力,比如通過移動硬盤或者共享網絡資源傳播到其它電腦。此外,也有安全人員發現Necurs木馬捆綁在其它木馬中,或者通過郵件進行傳播。
C&C服務器:
目前捕獲到的勒索病毒C&C服務器有上百個,并且都還處于活躍狀態。經統計,C&C服務器的地理位置分布如下,可以看到大部分位于美國、法國等國家:
進一步查詢發現,病毒作者注意隱藏自己的信息,服務器域名的注冊信息基本都處于保護狀態,無法追查到具體的個人。下圖列舉了部分C&C服務器上惡意payload的下載地址:
技術分析:
Trick Bot銀行木馬:
三次攻擊事件所使用的手法比較常見,這里進行一個簡要的分析。第一次攻擊是從wsf開始的,腳本運行后用rundll32,去加載另外一個加密腳本
第二個腳本是一個混淆的VBScript,簡單看一下,是從網上下載文件,解密后運行
下載后,存到%Temp%\FPlljS.exeA,
 用Key解密后釋放了可執行%Temp%\FPlljS.exe,隨后病毒就會加載這個exe。這個可執行文件就是之前出現的Trick Bot銀行木馬。下圖中最后一行的Shine函數,會調用后續的解密邏輯并加載解密后的惡意木馬。
Globelmposter707惡意勒索
雙擊運行word文檔,啟動后提示是否允許執行宏代碼,點擊允許。通過開啟的行為監控log,會發現winword進程下載了名字為hurd8.exe的可執行文件,并運行,下載地址:http://tayangfood[.]com/hjbgtg67
進程運行后在%temp%目錄釋放.bat文件并執行,bat用于刪除磁盤備份的卷宗,注冊表、系統事件日志等相關信息。
然后開始掃描電腦硬盤,對各個磁盤的exe、dll、sys、bmp、txt、ini等文件進行加密,加密影響了電腦所有文檔類、圖片類文件的查看,以及第三方軟件可執行文件也被加密,無法打開軟件。PE文件加密后不可執行,因此排除了感染型的可能。
木馬加密過程比較漫長,同時刻意保留了系統文件,保證用戶電腦可以正常開機,瀏覽網頁(方便后續繳納敲詐贖金)。在被加密的每個文件夾下,木馬會生成RECOVER-FILES.html網頁文件,打開后可以看到是真正的勒索頁面。
點擊按鈕Yes,I want to buy,會進一步發送一些加密數據到黑客部署在暗網中的服務器,同時彈出最終的勒索界面。要求被害者在兩天內支付0.2比特幣。
Globelmposter725惡意勒索:
針對后綴名725惡意勒索,Zip包內是vbs,Vbs內有下載PE的鏈接
下載回PE文件,會釋放一個敲詐勒索樣本,以下文件后綴會被加密:
將病毒樣本復制到Users目錄,寫注冊表啟動項信息,并開機自啟動,在temp目錄下創建bat批處理并啟動
讀取資源,資源里存著加密過的敲詐勒索html信息,解密后的html文件顯示如下圖。
上圖展示的是加密部分,用的是RSA加密,加密完后的文件會在原文件名后添加.725
參考資料
1. https://intel.malwaretech.com/botnet/necurs/?t=24h&bid=all
2. https://securityintelligence.com/the-necurs-botnet-a-pandoras-box-of-malicious-spam
3. http://www.4hou.com/info/news/3944.html
4.https://twitter.com/MalwareTechLab/status/843760420989157378/photo/1
5.https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp-evolution-of-exploit-kits.pdf
| 
