歷時8年,微軟聯(lián)合35個國家成功摧毀了全球最大的僵尸網(wǎng)絡組織Necurs!
搞安全的童鞋可能對 Necurs 僵尸網(wǎng)絡并不陌生,很可能還想用盡畢生所學“摧毀”它。
最近,這個愿望似乎已經被微軟實現(xiàn)了。雷鋒網(wǎng)3 月 11 日消息,微軟昨天宣布他們成功摧毀了 Necurs 僵尸網(wǎng)絡,該僵尸網(wǎng)絡已感染了全球超過 900 萬臺計算機,兩個月內產生了 380 萬封垃圾郵件,并劫持了其大部分基礎設施。
1. 微軟成功搗毀 Necurs 僵尸網(wǎng)絡
據(jù)外媒報道,此次微軟能夠破獲 Necurs 僵尸網(wǎng)絡得益于 35 個國家/地區(qū)的國際警察和私人科技公司協(xié)調行動的結果。
微軟表示,為了搗毀 Necurs ,他們破解了該僵尸網(wǎng)絡通過算法生成新域的技術——DGA 。
DGA ( Domain Generate Algorithm 域名生成算法)是一種使用時間,字典,硬編碼的常量利用一定的算法生成的域名。DGA 生成的域名具有為隨機性,用于中心結構的僵尸網(wǎng)絡中與 C&C 服務器的連接,以逃避域名黑名單檢測的技術。
攻擊者可通過運行算法生成 DGA 域名,然后隨機選擇其中的少量域名進行注冊,并將域名綁定到 C&C服務器。受害者的機器被植入惡意程序后運行 DGA 算法生成域名,并檢測域名是否可以連接,如果不能連接就嘗試下一個域名,如果可以連接就選取該域名作為該惡意程序的控制端服務器域名,而這一切到了僵尸網(wǎng)絡手里,你的電腦就會癱瘓,后果不可謂不嚴重。
所以,為了更徹底的摧毀 Necurs 僵尸網(wǎng)絡,微軟聯(lián)合 35 個國家破解了這一算法,并成功預測了未來 25 個月內該網(wǎng)絡可能創(chuàng)建的 600 萬個域,通報給全球各地的域名管理機構,預防將來遭到攻擊。此外,在法院命令的幫助下,微軟還接管了 Necurs 在美國的現(xiàn)有域,獲得了對美國基礎設施的控制,這些基礎設施用于分發(fā)惡意軟件和感染受害計算機。
微軟表示:“通過控制現(xiàn)有網(wǎng)站并抑制注冊新網(wǎng)站的能力,我們已經大大‘破壞’了僵尸網(wǎng)絡。”
值得一提的是,這一行動微軟策劃了八年。
2. 全球最大的僵尸網(wǎng)絡之一:Necurs僵尸網(wǎng)絡
在談 Necurs 僵尸網(wǎng)絡之前,雷鋒網(wǎng)先帶大家了解下僵尸網(wǎng)絡。
簡單的說,僵尸網(wǎng)絡指的是那些利用惡意代碼控制互聯(lián)網(wǎng)上的設備,讓他們像僵尸一樣失去了原本的“意識”,這些僵尸網(wǎng)絡在 C2 端(也就是控制者)的命令下統(tǒng)一行動,就組成了僵尸網(wǎng)絡。僵尸網(wǎng)絡的一個重要作用就是進行 DDoS 攻擊,也就是發(fā)動這些硬件對特定服務器同時發(fā)起訪問,造成對方網(wǎng)絡癱瘓,無法正常運行。
而在僵尸網(wǎng)絡的世界里,還盛行著一條“弱肉強食”的法則,誰手上控制的壯丁最多,誰就擁有最強大的“部隊”,可以在網(wǎng)絡世界里肆意殺伐,攻城略地。
一般操作是,惡意僵尸程序在全網(wǎng)進行掃描,一旦發(fā)現(xiàn)有漏洞的設備(電腦、硬件等等),就馬上入侵控制,把它納入僵尸大軍麾下,再以新的僵尸設備為跳板,繼續(xù)感染其他設備。這像極了僵尸片中病毒的指數(shù)級擴散模式。
這些僵尸大軍,少則有幾千臺設備,多則達到數(shù)百萬臺設備,這也就很容易理解為什么安全公司總在想辦法摧毀他們了。
再來看下微軟此次摧毀的 Necurs 僵尸網(wǎng)絡。
Necurs 僵尸網(wǎng)絡于 2012 年首次被發(fā)現(xiàn),它由幾百萬臺受感染的設備組成,一直致力于分發(fā)銀行惡意軟件、加密劫持惡意軟件、勒索軟件以及每次運行時發(fā)送給數(shù)百萬收件人的各種電子郵件進行詐騙。在過去 八年里,Necurs 僵尸網(wǎng)絡已經發(fā)展成為全球最大的垃圾郵件傳播組織。
然而,Necurs 并不僅僅是一個垃圾郵件程序,它是一個模塊化的惡意軟件,包含了一個主僵尸網(wǎng)絡模塊、一個用戶級 Rootkit ,并且可以動態(tài)加載其它模塊。
2017 年,Necurs 開始活躍起來,其在傳播 Dridex 和 Locky 勒索軟件時被注意到,每小時可向全球計算機發(fā)送 500 萬封電子郵件。
研究人員在昨日發(fā)布的另一份報告中說:“從 2016 年到 2019 年,Necurs 是犯罪分子發(fā)送垃圾郵件和惡意軟件的最主要方法,利用電子郵件在全球傳播惡意軟件的 90% 都使用了這種方法。”
微軟說:“在 58 天的調查中,我們觀察到一臺感染 Necurs 的計算機發(fā)送了總共 380 萬封垃圾郵件,潛在的受害者多達 4060 萬。”
根據(jù)研究人員發(fā)布的最新統(tǒng)計數(shù)據(jù),印度、印度尼西亞、土耳其、越南、墨西哥、泰國、伊朗、菲律賓和巴西是受到 Necurs 惡意軟件攻擊最多的國家。
不過,現(xiàn)在還有一點擔心是,互聯(lián)網(wǎng)世界里的僵尸有可能是打不盡的。
3. Necurs 還會卷土重來嗎?
事實上,打擊僵尸網(wǎng)絡這件事是個持久戰(zhàn),安全人員也一直在為此做努力,但無奈的是,僵尸網(wǎng)絡總是會再次卷土重來。
雷鋒網(wǎng)了解到, 2015 年 10 月,一次包含 FBI 和 NCA 在內的國際聯(lián)合行動摧毀了 Necurs 僵尸網(wǎng)絡,但是很快它又復活了,之后就主要用于傳播 Locky 勒索軟件。此后,在安全人員的控制下,Necurs 僵尸網(wǎng)絡 雖然有所“收斂”,但每隔一段時間似乎都有新的迭代版本出現(xiàn)。
2018 年 4 月,研究人員觀察到它將遠程訪問木馬 FlawedAmmyy 加入其功能模塊中。FlawedAmmyy是通過合法的遠程訪問工具 Ammyy Admin 進行木馬化的,與遠程桌面工具一樣,F(xiàn)lawedAmmyy 具有Ammyy Admin 的功能,包括遠程桌面控制,文件系統(tǒng)管理,代理支持和音頻聊天功能,Necurs 通過C&C 命令加入不同的模塊,竊取并發(fā)回用戶的信息,其中包括與設備相關的信息,比如計算機名稱、用戶 ID、操作系統(tǒng)信息、所安裝的殺毒軟件信息甚至惡意軟件構建時間、智能卡是否連接等。
2018 年 5 月下旬,研究人員發(fā)現(xiàn)了一些 Necurs 模塊,這些模塊不但泄露了電子郵件帳戶信息并將它們發(fā)送到 hxxp://185[.]176[.]221[.]24/l/s[.]php 。如果有人安裝并登錄到 Outlook,Outlook 就會創(chuàng)建一個目錄 “ %AppData%RoamingMicrosoftOutlook ”,該目錄將會存儲文件名中帶有電子郵件字符串的憑證。接著,該模塊將在文件名中搜索帶有電子郵件字符串的文件,然后將這些字符串返回。
2018 年 6月,研究人員看到 Necurs 推出一個 .NET 垃圾郵件模塊,該模塊能夠發(fā)送電子郵件并竊取來自 Internet Explorer,Chrome 和 Firefox 的登錄憑據(jù),此 .NET 垃圾郵件模塊的某些功能部分與其中一個開源遠程訪問工具重疊。
而現(xiàn)在我們尚無法確定微軟此次的破壞成效,Necurs 是否還會卷土重來,所以,雷鋒網(wǎng)建議大家為避免被僵尸網(wǎng)絡攻擊,對于不明來源的電子郵件內容要非常小心,同樣對于不確定來源的安裝程序也要謹慎,要定期運行殺毒軟件。
