搞安全的童鞋可能对 Necurs 僵尸网络并不陌生,很可能还想用尽毕生所学“摧毁”它。
最近,这个愿望似乎已经被微软实现了。雷锋网 3 月 11 日消息,微软昨天宣布他们成功摧毁了 Necurs 僵尸网络,该僵尸网络已感染了全球超过 900 万台计算机,两个月内产生了 380 万封垃圾邮件,并劫持了其大部分基础设施。
据外媒报道,此次微软能够破获 Necurs 僵尸网络得益于 35 个国家/地区的国际警察和私人科技公司协调行动的结果。
微软表示,为了捣毁 Necurs ,他们破解了该僵尸网络通过算法生成新域的技术——DGA 。
DGA ( Domain Generate Algorithm 域名生成算法)是一种使用时间,字典,硬编码的常量利用一定的算法生成的域名。DGA 生成的域名具有为随机性,用于中心结构的僵尸网络中与 C&C 服务器的连接,以逃避域名黑名单检测的技术。
攻击者可通过运行算法生成 DGA 域名,然后随机选择其中的少量域名进行注册,并将域名绑定到 C&C服务器。受害者的机器被植入恶意程序后运行 DGA 算法生成域名,并检测域名是否可以连接,如果不能连接就尝试下一个域名,如果可以连接就选取该域名作为该恶意程序的控制端服务器域名,而这一切到了僵尸网络手里,你的电脑就会瘫痪,后果不可谓不严重。
所以,为了更彻底的摧毁 Necurs 僵尸网络,微软联合 35 个国家破解了这一算法,并成功预测了未来 25 个月内该网络可能创建的 600 万个域,通报给全球各地的域名管理机构,预防将来遭到攻击。此外,在法院命令的帮助下,微软还接管了 Necurs 在美国的现有域,获得了对美国基础设施的控制,这些基础设施用于分发恶意软件和感染受害计算机。
微软表示:“通过控制现有网站并抑制注册新网站的能力,我们已经大大‘破坏’了僵尸网络。”
值得一提的是,这一行动微软策划了八年。
在谈 Necurs 僵尸网络之前,雷锋网先带大家了解下僵尸网络。
简单的说,僵尸网络指的是那些利用恶意代码控制互联网上的设备,让他们像僵尸一样失去了原本的“意识”,这些僵尸网络在 C2 端(也就是控制者)的命令下统一行动,就组成了僵尸网络。僵尸网络的一个重要作用就是进行 DDoS 攻击,也就是发动这些硬件对特定服务器同时发起访问,造成对方网络瘫痪,无法正常运行。
而在僵尸网络的世界里,还盛行着一条“弱肉强食”的法则,谁手上控制的壮丁最多,谁就拥有最强大的“部队”,可以在网络世界里肆意杀伐,攻城略地。
一般操作是,恶意僵尸程序在全网进行扫描,一旦发现有漏洞的设备(电脑、硬件等等),就马上入侵控制,把它纳入僵尸大军麾下,再以新的僵尸设备为跳板,继续感染其他设备。这像极了僵尸片中病毒的指数级扩散模式。
这些僵尸大军,少则有几千台设备,多则达到数百万台设备,这也就很容易理解为什么安全公司总在想办法摧毁他们了。
再来看下微软此次摧毁的 Necurs 僵尸网络。
Necurs 僵尸网络于 2012 年首次被发现,它由几百万台受感染的设备组成,一直致力于分发银行恶意软件、加密劫持恶意软件、勒索软件以及每次运行时发送给数百万收件人的各种电子邮件进行诈骗。在过去 八年里,Necurs 僵尸网络已经发展成为全球最大的垃圾邮件传播组织。
然而,Necurs 并不仅仅是一个垃圾邮件程序,它是一个模块化的恶意软件,包含了一个主僵尸网络模块、一个用户级 Rootkit ,并且可以动态加载其它模块。
2017 年,Necurs 开始活跃起来,其在传播 Dridex 和 Locky 勒索软件时被注意到,每小时可向全球计算机发送 500 万封电子邮件。
【 图片来源:freebuf 所有者:freebuf 】
研究人员在昨日发布的另一份报告中说:“从 2016 年到 2019 年,Necurs 是犯罪分子发送垃圾邮件和恶意软件的最主要方法,利用电子邮件在全球传播恶意软件的 90% 都使用了这种方法。”
微软说:“在 58 天的调查中,我们观察到一台感染 Necurs 的计算机发送了总共 380 万封垃圾邮件,潜在的受害者多达 4060 万。”
根据研究人员发布的最新统计数据,印度、印度尼西亚、土耳其、越南、墨西哥、泰国、伊朗、菲律宾和巴西是受到 Necurs 恶意软件攻击最多的国家。
不过,现在还有一点担心是,互联网世界里的僵尸有可能是打不尽的。
事实上,打击僵尸网络这件事是个持久战,安全人员也一直在为此做努力,但无奈的是,僵尸网络总是会再次卷土重来。
雷锋网了解到, 2015 年 10 月,一次包含 FBI 和 NCA 在内的国际联合行动摧毁了 Necurs 僵尸网络,但是很快它又复活了,之后就主要用于传播 Locky 勒索软件。此后,在安全人员的控制下,Necurs 僵尸网络 虽然有所“收敛”,但每隔一段时间似乎都有新的迭代版本出现。
2018 年 4 月,研究人员观察到它将远程访问木马 FlawedAmmyy 加入其功能模块中。FlawedAmmyy是通过合法的远程访问工具 Ammyy Admin 进行木马化的,与远程桌面工具一样,FlawedAmmyy 具有Ammyy Admin 的功能,包括远程桌面控制,文件系统管理,代理支持和音频聊天功能,Necurs 通过C&C 命令加入不同的模块,窃取并发回用户的信息,其中包括与设备相关的信息,比如计算机名称、用户 ID、操作系统信息、所安装的杀毒软件信息甚至恶意软件构建时间、智能卡是否连接等。
2018 年 5 月下旬,研究人员发现了一些 Necurs 模块,这些模块不但泄露了电子邮件帐户信息并将它们发送到 hxxp://185[.]176[.]221[.]24/l/s[.]php 。如果有人安装并登录到 Outlook,Outlook 就会创建一个目录 “ %AppData%\Roaming\Microsoft\Outlook\ ”,该目录将会存储文件名中带有电子邮件字符串的凭证。接着,该模块将在文件名中搜索带有电子邮件字符串的文件,然后将这些字符串返回。
2018 年 6月,研究人员看到 Necurs 推出一个 .NET 垃圾邮件模块,该模块能够发送电子邮件并窃取来自 Internet Explorer,Chrome 和 Firefox 的登录凭据,此 .NET 垃圾邮件模块的某些功能部分与其中一个开源远程访问工具重叠。
而现在我们尚无法确定微软此次的破坏成效,Necurs 是否还会卷土重来,所以,雷锋网建议大家为避免被僵尸网络攻击,对于不明来源的电子邮件内容要非常小心,同样对于不确定来源的安装程序也要谨慎,要定期运行杀毒软件。
参考资料:https://www.engadget.com/2020-03-10-microsoft-disrupts-necurs-botnet.html
https://thehackernews.com/2020/03/necurs-botnet-takedown.html