事件背景:
近日騰訊安全反病毒實(shí)驗(yàn)室捕獲了一系列通過郵件進(jìn)行傳播的攻擊。這次攻擊分為三個(gè)主要階段和其后不斷地變種攻擊,都是借助釣魚郵件的形式進(jìn)行傳播的。經(jīng)過我們的分析,這些攻擊是來(lái)自一個(gè)團(tuán)伙。
下圖這封郵件是第三次郵件釣魚攻擊中的一封郵件。
自7月24號(hào)起到7月31號(hào),不法分子發(fā)起了三次攻擊,規(guī)模越來(lái)越大,作惡方式,技術(shù)手段也不斷更新。木馬作者為了不法利益,步步為營(yíng),機(jī)關(guān)算盡。并且,密切跟蹤發(fā)現(xiàn),目前不法分子仍在不斷變換方式進(jìn)行攻擊,每日仍有大量木馬新變種被陸續(xù)發(fā)現(xiàn)。
下面我們將從事件概述,溯源分析,技術(shù)手法等方面對(duì)此次攻擊進(jìn)行介紹。
事件概述:
下圖展示的就是此次發(fā)現(xiàn)的攻擊的概況:
可見短短的一周事件,黑客就發(fā)起了三次攻擊,并且后續(xù)的攻擊仍在繼續(xù)中。
Trick Bot攻擊:
第一起發(fā)生在7月24號(hào),規(guī)模較小,當(dāng)天有50多封釣魚郵件。攻擊是通過一個(gè)帶附件的郵件進(jìn)行傳播的。附件是一個(gè)wsf的腳本,運(yùn)行后會(huì)下載另外一個(gè)加密的腳本,并最終下載解密運(yùn)行可執(zhí)行文件。這個(gè)可執(zhí)行文件正是去年的一種銀行木馬,叫做Trick Bot。最終的目的就是注入瀏覽器,盜取用戶與銀行有關(guān)的信息和密碼。
Globelmposter707勒索:
第二起發(fā)生在7月27號(hào),相比于第一次,這次規(guī)模更大,有600多封郵件。這次是通過運(yùn)行帶有宏的word文檔,來(lái)執(zhí)行惡意行為的。如果用戶電腦word開啟了宏,運(yùn)行word后會(huì)從C&C服務(wù)器下載樣本。最終用戶電腦會(huì)被全盤加密勒索,被加密文件后綴名為707,此次加密類型也包含了exe文件,這與之前發(fā)生的勒索加密有些差異。加密可執(zhí)行文件有可能導(dǎo)致用戶電腦程序無(wú)法打開或者崩潰,這對(duì)用戶危害更大,作惡手段也更惡劣。經(jīng)過調(diào)查,此類加密木馬是一類叫做Globelmposter的勒索病毒。
Globelmposter725勒索:
經(jīng)過前兩次的試探,7月31號(hào),真正的較量拉開了序幕。此次攻擊規(guī)模非常大,共計(jì)有近3000封郵件,這次收到的是壓縮包,里面存放了vbs腳本,最終會(huì)通過腳本下載exe,并實(shí)現(xiàn)加密。這次加密后的后綴是725。彈出的勒索框與707是類似的。這兩次攻擊事件所使用的惡意樣本是一個(gè)勒索家族系列的。三次攻擊,黑客使用的發(fā)件人郵箱都是隨機(jī)生成的,沒有什么規(guī)律。
最新變種:
騰訊安全反病毒實(shí)驗(yàn)室密切關(guān)注此次事件,并且建立了同類木馬的監(jiān)控方案。通過監(jiān)控發(fā)現(xiàn),進(jìn)入8月以后,木馬作者仍然在繼續(xù)通過郵件傳播的方式傳播木馬新型變種,變種木馬作惡流程與之前基本一致,只不過加密文件后的后綴發(fā)生了變化。目前陸續(xù)發(fā)現(xiàn)的新的加密后綴包括726、coded等多種類型。
影響范圍:
目前統(tǒng)計(jì)這次攻擊的國(guó)內(nèi)中毒地域分布,廣東和北京中招的用戶較多:
溯源僵尸網(wǎng)絡(luò):
追蹤幕后黑手
下圖展示了三次攻擊的流程。
首先第二次和第三次的勒索方式,一個(gè)是707,一個(gè)是725,都是一類Globelmposter勒索病毒。彈出的勒索信息界面也極為相似。下圖中,左圖為707的勒索界面,右圖為725的勒索界面。
其次,在第一次和第三次的攻擊中,都有腳本文件,對(duì)比兩次的vb腳本,發(fā)現(xiàn)部分代碼的混淆方式也是一致的。
上圖第一幅是第一次攻擊事件的腳本部分混淆代碼,第二幅圖是第三次攻擊的代碼。由以上兩點(diǎn)可以推斷,是同一個(gè)團(tuán)伙作案。
分析攻擊的郵件主題和附件名稱,發(fā)現(xiàn)主題非常的簡(jiǎn)略,一般只有一句與payment或者Receipt有關(guān)提示性語(yǔ)句,同時(shí)附件名稱是開頭一個(gè)字母p,隨后跟著幾個(gè)數(shù)字的壓縮包,如p8843.zip。這些線索讓我們想起了臭名昭著的僵尸網(wǎng)絡(luò)——Necurs。
Necurs危害
Necurs是世界上最大的惡意僵尸網(wǎng)絡(luò)之一,甚至被稱為“惡意木馬傳播的基礎(chǔ)設(shè)施”,曾有多個(gè)惡意家族木馬的傳播被證明或懷疑與Necurs木馬構(gòu)建的僵尸網(wǎng)絡(luò)有關(guān),包括臭名昭著的勒索病毒Locky、Jaff,以銀行憑證為主要目標(biāo)的木馬Dridex等。Necurs僵尸網(wǎng)絡(luò)發(fā)送的郵件主題與附件命名方式與這次攻擊也極為相似。Necurs不僅僅是一個(gè)垃圾郵件工具,它還具備rootkit能力和對(duì)抗殺軟的能力,一旦感染了用戶的機(jī)器就很難被清除掉。此外,Necurs實(shí)現(xiàn)了模塊化的設(shè)計(jì),可以根據(jù)不同的任務(wù)而加載不同的惡意模塊,使得受害者的電腦被任意地操縱。下圖展示的是僵尸網(wǎng)絡(luò)與病毒之間的關(guān)系。
黑客通過各種方式控制全球范圍內(nèi)的一大批肉雞,組建一個(gè)僵尸網(wǎng)絡(luò)。“手里有糧,心里不慌”,有了這么大的資源后,黑客既可以把資源包裝后在黑產(chǎn)上出售,比如以服務(wù)的形式為病毒作者傳播勒索病毒,或者自立山頭,親自傳播勒索病毒,從中獲利。
同時(shí)也可以看到,發(fā)件人郵箱或者ip地址與真正的幕后黑手還有很遠(yuǎn)的距離,這也加大了安全工作人員追查幕后黑手的難度。
下圖顯示了感染Necurs病毒的ip數(shù)目趨勢(shì)圖,在7月中下旬有一輪爆發(fā)趨勢(shì),正好與此次攻擊事件重合:
Necurs歷史
關(guān)于Necurs僵尸網(wǎng)絡(luò)最早的技術(shù)分析可以追溯到2012年,當(dāng)時(shí)微軟發(fā)布安全警告提醒用戶警惕Necurs木馬的傳播,并提到木馬用到了一些主動(dòng)關(guān)閉電腦安全防護(hù)措施的手段。在其后的一段時(shí)間內(nèi),Necurs僵尸網(wǎng)絡(luò)主要被用于傳播Zeus、CryptoWall、Dridex、Locky等木馬。
2016年6月開始,Necurs僵尸網(wǎng)絡(luò)曾經(jīng)有一段長(zhǎng)時(shí)間的沉寂,監(jiān)控到的惡意流量一度下降超過九成。關(guān)于這次沉寂,安全專家有不同的猜測(cè),有人認(rèn)為服務(wù)器遇到了技術(shù)故障或者已經(jīng)易主,也有人將其與當(dāng)時(shí)50名Lurk木馬開發(fā)者被捕聯(lián)系起來(lái),認(rèn)為此僵尸網(wǎng)絡(luò)已經(jīng)失效。
不幸的是,不久之后,Necurs僵尸網(wǎng)絡(luò)又卷土重來(lái),還帶來(lái)了許多新的惡意功能,比如更新了發(fā)動(dòng)DDoS攻擊的模塊,甚至還在股票市場(chǎng)上耍起了花招。2017年3月,大量虛假郵件通過Necurs僵尸網(wǎng)絡(luò)被發(fā)送出去,郵件并未攜帶惡意附件,而是假稱一家名為InCapta公司的股票有利可圖,建議進(jìn)行購(gòu)買。
從消息發(fā)布后幾分鐘的截圖可以看出,股市的交易股票數(shù)量發(fā)生了大幅的增長(zhǎng)趨勢(shì)。安全人員推測(cè),通過引誘很多人買入股票推高股價(jià),可以使得某些幕后操縱者從中獲利。
從那以后,還有許多其它的木馬攻擊事件跟Necurs聯(lián)系在一起,例如Jaff和此次的GlobeImposter等。
Necurs木馬進(jìn)入受害者電腦的途徑,目前有大量的監(jiān)控證據(jù)指向那些自動(dòng)攻擊工具包,例如Blackhole Exploit pack、NuclearExploit kits、Angler Exploit kits等。在受害者查看惡意網(wǎng)頁(yè)時(shí),這些工具包會(huì)分析受害者電腦上的漏洞,自動(dòng)給受害者發(fā)送對(duì)應(yīng)的漏洞利用代碼,然后利用這些漏洞將木馬悄悄下載到電腦上并運(yùn)行。
Necurs自身也有一定的傳播能力,比如通過移動(dòng)硬盤或者共享網(wǎng)絡(luò)資源傳播到其它電腦。此外,也有安全人員發(fā)現(xiàn)Necurs木馬捆綁在其它木馬中,或者通過郵件進(jìn)行傳播。
C&C服務(wù)器:
目前捕獲到的勒索病毒C&C服務(wù)器有上百個(gè),并且都還處于活躍狀態(tài)。經(jīng)統(tǒng)計(jì),C&C服務(wù)器的地理位置分布如下,可以看到大部分位于美國(guó)、法國(guó)等國(guó)家:
進(jìn)一步查詢發(fā)現(xiàn),病毒作者注意隱藏自己的信息,服務(wù)器域名的注冊(cè)信息基本都處于保護(hù)狀態(tài),無(wú)法追查到具體的個(gè)人。下圖列舉了部分C&C服務(wù)器上惡意payload的下載地址:
技術(shù)分析:
Trick Bot銀行木馬:
三次攻擊事件所使用的手法比較常見,這里進(jìn)行一個(gè)簡(jiǎn)要的分析。第一次攻擊是從wsf開始的,腳本運(yùn)行后用rundll32,去加載另外一個(gè)加密腳本
第二個(gè)腳本是一個(gè)混淆的VBScript,簡(jiǎn)單看一下,是從網(wǎng)上下載文件,解密后運(yùn)行
下載后,存到%Temp%\FPlljS.exeA,
 用Key解密后釋放了可執(zhí)行%Temp%\FPlljS.exe,隨后病毒就會(huì)加載這個(gè)exe。這個(gè)可執(zhí)行文件就是之前出現(xiàn)的Trick Bot銀行木馬。下圖中最后一行的Shine函數(shù),會(huì)調(diào)用后續(xù)的解密邏輯并加載解密后的惡意木馬。
Globelmposter707惡意勒索
雙擊運(yùn)行word文檔,啟動(dòng)后提示是否允許執(zhí)行宏代碼,點(diǎn)擊允許。通過開啟的行為監(jiān)控log,會(huì)發(fā)現(xiàn)winword進(jìn)程下載了名字為hurd8.exe的可執(zhí)行文件,并運(yùn)行,下載地址:http://tayangfood[.]com/hjbgtg67
進(jìn)程運(yùn)行后在%temp%目錄釋放.bat文件并執(zhí)行,bat用于刪除磁盤備份的卷宗,注冊(cè)表、系統(tǒng)事件日志等相關(guān)信息。
然后開始掃描電腦硬盤,對(duì)各個(gè)磁盤的exe、dll、sys、bmp、txt、ini等文件進(jìn)行加密,加密影響了電腦所有文檔類、圖片類文件的查看,以及第三方軟件可執(zhí)行文件也被加密,無(wú)法打開軟件。PE文件加密后不可執(zhí)行,因此排除了感染型的可能。
木馬加密過程比較漫長(zhǎng),同時(shí)刻意保留了系統(tǒng)文件,保證用戶電腦可以正常開機(jī),瀏覽網(wǎng)頁(yè)(方便后續(xù)繳納敲詐贖金)。在被加密的每個(gè)文件夾下,木馬會(huì)生成RECOVER-FILES.html網(wǎng)頁(yè)文件,打開后可以看到是真正的勒索頁(yè)面。
點(diǎn)擊按鈕Yes,I want to buy,會(huì)進(jìn)一步發(fā)送一些加密數(shù)據(jù)到黑客部署在暗網(wǎng)中的服務(wù)器,同時(shí)彈出最終的勒索界面。要求被害者在兩天內(nèi)支付0.2比特幣。
Globelmposter725惡意勒索:
針對(duì)后綴名725惡意勒索,Zip包內(nèi)是vbs,Vbs內(nèi)有下載PE的鏈接
下載回PE文件,會(huì)釋放一個(gè)敲詐勒索樣本,以下文件后綴會(huì)被加密:
將病毒樣本復(fù)制到Users目錄,寫注冊(cè)表啟動(dòng)項(xiàng)信息,并開機(jī)自啟動(dòng),在temp目錄下創(chuàng)建bat批處理并啟動(dòng)
讀取資源,資源里存著加密過的敲詐勒索html信息,解密后的html文件顯示如下圖。
上圖展示的是加密部分,用的是RSA加密,加密完后的文件會(huì)在原文件名后添加.725
參考資料
1. https://intel.malwaretech.com/botnet/necurs/?t=24h&bid=all
2. https://securityintelligence.com/the-necurs-botnet-a-pandoras-box-of-malicious-spam
3. http://www.4hou.com/info/news/3944.html
4.https://twitter.com/MalwareTechLab/status/843760420989157378/photo/1
5.https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp-evolution-of-exploit-kits.pdf
| 
