事件背景:
近日腾讯安全反病毒实验室捕获了一系列通过邮件进行传播的攻击。这次攻击分为三个主要阶段和其后不断地变种攻击,都是借助钓鱼邮件的形式进行传播的。经过我们的分析,这些攻击是来自一个团伙。
下图这封邮件是第三次邮件钓鱼攻击中的一封邮件。
自7月24号起到7月31号,不法分子发起了三次攻击,规模越来越大,作恶方式,技术手段也不断更新。木马作者为了不法利益,步步为营,机关算尽。并且,密切跟踪发现,目前不法分子仍在不断变换方式进行攻击,每日仍有大量木马新变种被陆续发现。
下面我们将从事件概述,溯源分析,技术手法等方面对此次攻击进行介绍。
事件概述:
下图展示的就是此次发现的攻击的概况:
可见短短的一周事件,黑客就发起了三次攻击,并且后续的攻击仍在继续中。
Trick Bot攻击:
第一起发生在7月24号,规模较小,当天有50多封钓鱼邮件。攻击是通过一个带附件的邮件进行传播的。附件是一个wsf的脚本,运行后会下载另外一个加密的脚本,并最终下载解密运行可执行文件。这个可执行文件正是去年的一种银行木马,叫做Trick Bot。最终的目的就是注入浏览器,盗取用户与银行有关的信息和密码。
Globelmposter707勒索:
第二起发生在7月27号,相比于第一次,这次规模更大,有600多封邮件。这次是通过运行带有宏的word文档,来执行恶意行为的。如果用户电脑word开启了宏,运行word后会从C&C服务器下载样本。最终用户电脑会被全盘加密勒索,被加密文件后缀名为707,此次加密类型也包含了exe文件,这与之前发生的勒索加密有些差异。加密可执行文件有可能导致用户电脑程序无法打开或者崩溃,这对用户危害更大,作恶手段也更恶劣。经过调查,此类加密木马是一类叫做Globelmposter的勒索病毒。
Globelmposter725勒索:
经过前两次的试探,7月31号,真正的较量拉开了序幕。此次攻击规模非常大,共计有近3000封邮件,这次收到的是压缩包,里面存放了vbs脚本,最终会通过脚本下载exe,并实现加密。这次加密后的后缀是725。弹出的勒索框与707是类似的。这两次攻击事件所使用的恶意样本是一个勒索家族系列的。三次攻击,黑客使用的发件人邮箱都是随机生成的,没有什么规律。
最新变种:
腾讯安全反病毒实验室密切关注此次事件,并且建立了同类木马的监控方案。通过监控发现,进入8月以后,木马作者仍然在继续通过邮件传播的方式传播木马新型变种,变种木马作恶流程与之前基本一致,只不过加密文件后的后缀发生了变化。目前陆续发现的新的加密后缀包括726、coded等多种类型。
影响范围:
目前统计这次攻击的国内中毒地域分布,广东和北京中招的用户较多:
溯源僵尸网络:
追踪幕后黑手
下图展示了三次攻击的流程。
首先第二次和第三次的勒索方式,一个是707,一个是725,都是一类Globelmposter勒索病毒。弹出的勒索信息界面也极为相似。下图中,左图为707的勒索界面,右图为725的勒索界面。
其次,在第一次和第三次的攻击中,都有脚本文件,对比两次的vb脚本,发现部分代码的混淆方式也是一致的。
上图第一幅是第一次攻击事件的脚本部分混淆代码,第二幅图是第三次攻击的代码。由以上两点可以推断,是同一个团伙作案。
分析攻击的邮件主题和附件名称,发现主题非常的简略,一般只有一句与payment或者Receipt有关提示性语句,同时附件名称是开头一个字母p,随后跟着几个数字的压缩包,如p8843.zip。这些线索让我们想起了臭名昭著的僵尸网络——Necurs。
Necurs危害
Necurs是世界上最大的恶意僵尸网络之一,甚至被称为“恶意木马传播的基础设施”,曾有多个恶意家族木马的传播被证明或怀疑与Necurs木马构建的僵尸网络有关,包括臭名昭著的勒索病毒Locky、Jaff,以银行凭证为主要目标的木马Dridex等。Necurs僵尸网络发送的邮件主题与附件命名方式与这次攻击也极为相似。Necurs不仅仅是一个垃圾邮件工具,它还具备rootkit能力和对抗杀软的能力,一旦感染了用户的机器就很难被清除掉。此外,Necurs实现了模块化的设计,可以根据不同的任务而加载不同的恶意模块,使得受害者的电脑被任意地操纵。下图展示的是僵尸网络与病毒之间的关系。
黑客通过各种方式控制全球范围内的一大批肉鸡,组建一个僵尸网络。“手里有粮,心里不慌”,有了这么大的资源后,黑客既可以把资源包装后在黑产上出售,比如以服务的形式为病毒作者传播勒索病毒,或者自立山头,亲自传播勒索病毒,从中获利。
同时也可以看到,发件人邮箱或者ip地址与真正的幕后黑手还有很远的距离,这也加大了安全工作人员追查幕后黑手的难度。
下图显示了感染Necurs病毒的ip数目趋势图,在7月中下旬有一轮爆发趋势,正好与此次攻击事件重合:
Necurs历史
关于Necurs僵尸网络最早的技术分析可以追溯到2012年,当时微软发布安全警告提醒用户警惕Necurs木马的传播,并提到木马用到了一些主动关闭电脑安全防护措施的手段。在其后的一段时间内,Necurs僵尸网络主要被用于传播Zeus、CryptoWall、Dridex、Locky等木马。
2016年6月开始,Necurs僵尸网络曾经有一段长时间的沉寂,监控到的恶意流量一度下降超过九成。关于这次沉寂,安全专家有不同的猜测,有人认为服务器遇到了技术故障或者已经易主,也有人将其与当时50名Lurk木马开发者被捕联系起来,认为此僵尸网络已经失效。
不幸的是,不久之后,Necurs僵尸网络又卷土重来,还带来了许多新的恶意功能,比如更新了发动DDoS攻击的模块,甚至还在股票市场上耍起了花招。2017年3月,大量虚假邮件通过Necurs僵尸网络被发送出去,邮件并未携带恶意附件,而是假称一家名为InCapta公司的股票有利可图,建议进行购买。
从消息发布后几分钟的截图可以看出,股市的交易股票数量发生了大幅的增长趋势。安全人员推测,通过引诱很多人买入股票推高股价,可以使得某些幕后操纵者从中获利。
从那以后,还有许多其它的木马攻击事件跟Necurs联系在一起,例如Jaff和此次的GlobeImposter等。
Necurs木马进入受害者电脑的途径,目前有大量的监控证据指向那些自动攻击工具包,例如Blackhole Exploit pack、NuclearExploit kits、Angler Exploit kits等。在受害者查看恶意网页时,这些工具包会分析受害者电脑上的漏洞,自动给受害者发送对应的漏洞利用代码,然后利用这些漏洞将木马悄悄下载到电脑上并运行。
Necurs自身也有一定的传播能力,比如通过移动硬盘或者共享网络资源传播到其它电脑。此外,也有安全人员发现Necurs木马捆绑在其它木马中,或者通过邮件进行传播。
C&C服务器:
目前捕获到的勒索病毒C&C服务器有上百个,并且都还处于活跃状态。经统计,C&C服务器的地理位置分布如下,可以看到大部分位于美国、法国等国家:
进一步查询发现,病毒作者注意隐藏自己的信息,服务器域名的注册信息基本都处于保护状态,无法追查到具体的个人。下图列举了部分C&C服务器上恶意payload的下载地址:
技术分析:
Trick Bot银行木马:
三次攻击事件所使用的手法比较常见,这里进行一个简要的分析。第一次攻击是从wsf开始的,脚本运行后用rundll32,去加载另外一个加密脚本
第二个脚本是一个混淆的VBScript,简单看一下,是从网上下载文件,解密后运行
下载后,存到%Temp%\FPlljS.exeA,
 用Key解密后释放了可执行%Temp%\FPlljS.exe,随后病毒就会加载这个exe。这个可执行文件就是之前出现的Trick Bot银行木马。下图中最后一行的Shine函数,会调用后续的解密逻辑并加载解密后的恶意木马。
Globelmposter707恶意勒索
双击运行word文档,启动后提示是否允许执行宏代码,点击允许。通过开启的行为监控log,会发现winword进程下载了名字为hurd8.exe的可执行文件,并运行,下载地址:http://tayangfood[.]com/hjbgtg67
进程运行后在%temp%目录释放.bat文件并执行,bat用于删除磁盘备份的卷宗,注册表、系统事件日志等相关信息。
然后开始扫描电脑硬盘,对各个磁盘的exe、dll、sys、bmp、txt、ini等文件进行加密,加密影响了电脑所有文档类、图片类文件的查看,以及第三方软件可执行文件也被加密,无法打开软件。PE文件加密后不可执行,因此排除了感染型的可能。
木马加密过程比较漫长,同时刻意保留了系统文件,保证用户电脑可以正常开机,浏览网页(方便后续缴纳敲诈赎金)。在被加密的每个文件夹下,木马会生成RECOVER-FILES.html网页文件,打开后可以看到是真正的勒索页面。
点击按钮Yes,I want to buy,会进一步发送一些加密数据到黑客部署在暗网中的服务器,同时弹出最终的勒索界面。要求被害者在两天内支付0.2比特币。
Globelmposter725恶意勒索:
针对后缀名725恶意勒索,Zip包内是vbs,Vbs内有下载PE的链接
下载回PE文件,会释放一个敲诈勒索样本,以下文件后缀会被加密:
将病毒样本复制到Users目录,写注册表启动项信息,并开机自启动,在temp目录下创建bat批处理并启动
读取资源,资源里存着加密过的敲诈勒索html信息,解密后的html文件显示如下图。
上图展示的是加密部分,用的是RSA加密,加密完后的文件会在原文件名后添加.725
参考资料
1. https://intel.malwaretech.com/botnet/necurs/?t=24h&bid=all
2. https://securityintelligence.com/the-necurs-botnet-a-pandoras-box-of-malicious-spam
3. http://www.4hou.com/info/news/3944.html
4.https://twitter.com/MalwareTechLab/status/843760420989157378/photo/1
5.https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp-evolution-of-exploit-kits.pdf
| 
