全球最大殭屍網路組織 Necurs 橫行 8 年,微軟聯手 35 個國家成功摧毀

作者 | 發布日期 2020 年 03 月 13 日 13:30 | 分類 Microsoft , 網路 , 資訊安全 Telegram share ! follow us in feedly


許多專注在資訊安全的朋友可能對 Necurs 殭屍網路並不陌生,很可能還想用盡畢生所學「摧毀」它。

最近,這個願望似乎已經被微軟實現了。微軟 10 日宣布他們成功摧毀了 Necurs 殭屍網路,該殭屍網路已感染全球超過 900 萬台電腦,兩個月內產生了380 萬封垃圾郵件。

據外媒報導,這次微軟能夠破獲 Necurs 殭屍網路得益於 35 個國家 / 地區的國際警察和私人科技公司協調行動的結果。

微軟表示,為了搗毀 Necurs,他們破解了該殭屍網路透過演算法生成新域的技術──DGA。

DGA(Domain Generate Algorithm,域名生成演算法)是一種利用隨機字元來生成 C&C 域名,該域名有隨機性,用於中心結構的殭屍網路中與 C&C 伺服器的連接,進而逃避域名黑名單檢測的技術。

攻擊者可透過執行演算法生成 DGA 域名,然後隨機選擇其中的少量域名進行註冊,並將域名綁定到 C&C伺服器。受害者的機器被植入惡意程式後執行 DGA 演算法生成域名,並檢測域名是否可以連接,如果不能連接就嘗試下一個域名,如果可以連接就選取該域名為該惡意程式的控制端伺服器域名,而這一切到了殭屍網路手裡,你的電腦就會癱瘓,後果不可謂不嚴重。

所以,為了更徹底的摧毀 Necurs 殭屍網路,微軟聯合 35 個國家破解了這個演算法,並成功預測未來 25 個月內該網路可能創建的 600 萬個網域,通報給全球各地的域名管理機構,預防將來遭到攻擊。此外,在法院命令的幫助下,微軟還接管了 Necurs 在美國的現有網域,獲得了對美國基礎設施的控制,這些基礎設施用在發送惡意軟體和感染受害電腦。

微軟表示:「透過控制現有網站並抑制註冊新網站的能力,我們已經大大『破壞』了殭屍網路。」

值得一提的是,這個行動微軟策劃了 8 年。

全球最大的殭屍網路之一:Necurs 殭屍網路

在談 Necurs 殭屍網路之前,先要了解何謂殭屍網路。

簡單的說,殭屍網路指的是那些利用惡意代碼控制網路上的設備,讓他們像殭屍一樣失去了原本的「意識」,這些殭屍網路在 C2 端(也就是控制者)的命令下統一行動,就組成了殭屍網路。殭屍網路的一個重要作用就是進行 DDoS  攻擊,也就是發動這些硬體對特定伺服器同時發起訪問,造成對方網路癱瘓,無法正常執行。

而在殭屍網路的世界裡,還盛行著一條「弱肉強食」的法則,誰手上控制的壯丁最多,誰就擁有最強大的「部隊」,可以在網路世界裡肆意殺伐,攻城略地。

一般操作是,惡意殭屍程式在全網進行掃描,一旦發現有漏洞的設備(電腦、硬體等),就馬上入侵控制,把它納入殭屍大軍麾下,再以新的殭屍設備為跳板,繼續感染其他設備。這像極了殭屍片中病毒的指數級擴散模式。

這些殭屍大軍,少則有幾千台設備,多則達到數百萬台設備,這也就很容易理解為什麼資訊安全公司總在想辦法摧毀它們了。

接著,再來看微軟這次摧毀的 Necurs 殭屍網路。

Necurs 殭屍網路於 2012 年首次被發現,它由幾百萬台受感染的設備組成,一直致力於發送銀行惡意軟體、加密劫持惡意軟體、勒索軟體以及每次執行時發送給數百萬收件人的各種電子郵件詐騙。在過去 8 年裡,Necurs 殭屍網路已經發展成為全球最大的垃圾郵件傳播組織。

然而,Necurs 並不僅是一個垃圾郵件程式,它是一個模組化的惡意軟體,包含了一個主殭屍網路模組、一個用戶級 Rootkit,並且可以動態加載其他模組。

2017 年,Necurs 開始活躍起來,其在傳播 Dridex 和 Locky 勒索軟體時被注意到,每小時可向全球電腦發送 500 萬封電子郵件。

(Source:freebuf

研究人員在 10 日發布的另一份報告中說:「從 2016 年到 2019 年,Necurs 是犯罪分子發送垃圾郵件和惡意軟體的最主要方法,利用電子郵件在全球傳播惡意軟體的 90% 都使用了這種方法。」

微軟說:「在 58 天的調查中,我們觀察到一台感染 Necurs 的電腦發送了總共 380 萬封垃圾郵件,潛在的受害者多達 4,060 萬。」

根據研究人員發布的最新統計數據,印度、印度尼西亞、土耳其、越南、墨西哥、泰國、伊朗、菲律賓和巴西是受到 Necurs 惡意軟體攻擊最多的國家。

不過,現在還有一點擔心是,網路世界裡的殭屍有可能是打不完的。

Necurs 還會捲土重來嗎?

事實上,打擊殭屍網路這件事是個持久戰,安全人員也一直在為此做努力,但無奈的是,殭屍網路總是會再次捲土重來。

2015 年 10 月,一次包含 FBI 和 NCA 在內的國際聯合行動摧毀了 Necurs 殭屍網路,但是很快它又復活了,之後就主要用於傳播 Locky 勒索軟體。之後,在安全人員的控制下,Necurs 殭屍網路雖有所「收斂」,但每隔一段時間似乎都有新的迭代版本出現。

2018 年 4 月,研究人員觀察到它將遠端訪問木馬 FlawedAmmyy 加入其功能模組中。FlawedAmmyy是透過合法的遠端訪問工具 Ammyy Admin 進行木馬化的,與遠端桌面工具一樣,FlawedAmmyy 具有 Ammyy Admin 的功能,包括遠端桌面控制、文件系統管理、音頻聊天功能,Necurs 透過 C&C 命令加入不同的模組,竊取並發回用戶資訊,其中包括與設備相關的資訊,比如電腦名稱、用戶 ID、操作系統資訊、所安裝的防毒軟體資訊,甚至惡意軟體構建時間、智慧卡是否連接等。

2018 年 5 月下旬,研究人員發現了一些 Necurs 模組,這些模組不但洩漏了電子郵件帳戶資訊,並將它們發送到 hxxp://185[.]176[.]221[.]24/l/s[ .]php 。如果有人安裝並登錄到 Outlook,Outlook 就會創建一個目錄 「%AppData%\Roaming\Microsoft\Outlook\」,該目錄將會儲存文件名中帶有電子郵件字串的憑證。接著,該模組將在文件名中搜尋帶有電子郵件字串的文件,然後將這些字串返回。

2018 年 6 月,研究人員看到 Necurs 推出一個 .NET 垃圾郵件模組,該模組能夠發送電子郵件並竊取來自 Internet Explorer,Chrome 和 Firefox 的登錄憑據,此 .NET 垃圾郵件模組的某些功能部分與其中一個開源遠端訪問工具重疊。

微軟這次的破壞成效還不能確定 Necurs 是否捲土重來,為避免被殭屍網路攻擊,對於不明來源的電子郵件內容要非常小心,同樣對於不確定來源的安裝程式也要謹慎,要定期執行防毒軟體。

(本文由 雷鋒網 授權轉載;首圖來源:pixabay

延伸閱讀: