导语:Necurs僵尸网络是在2012年首次被发现的, 它是世界上最大的恶意僵尸网络之一,甚至被称为“恶意木马传播的基础设施”,曾有多个恶意家族木马的传播被证明或怀疑与Necurs木马构建的僵尸网络有关。

Necurs僵尸网络的新变化

Necurs僵尸网络是在2012年首次被发现的, 它是世界上最大的恶意僵尸网络之一,甚至被称为“恶意木马传播的基础设施”,曾有多个恶意家族木马的传播被证明或怀疑与Necurs木马构建的僵尸网络有关,包括臭名昭著的勒索病毒Locky、Jaff,以银行凭证为主要目标的木马Dridex等。

虽然已经出现6年时间了,但Necurs似乎并没有消失的迹象,而且每隔一段时间似乎都有新的迭代版本出现。最近趋势科技的研究人员发现Necurs的攻击方式似乎发生了一些很大的变化,例如在传播信息盗取程序时,Necurs只会对具有某些特定特征的程序表现出特别的兴趣。这些行为变化可能会产生巨大的影响,因为Necurs过去曾被用于大规模的网络犯罪。

另外Necurs早已实现了模块化的设计,可以根据不同的任务而加载不同的恶意模。在2017年,我们就看到过Necurs利用代理模块发送垃圾邮件的技术。然而,与2017年最后一个季度的垃圾邮件活动相比,今年Necurs的垃圾邮件数量明显减少。不过于此同时,研究人员却看到Necurs出现在许多的加密货币挖矿和信息窃取的攻击中,这从FlawedAmmyy RAT(它允许攻击者获取到对受感染计算机的完全访问权限,从而执行远程恶意服务器的一系列命令,包括文件管理器,视图屏幕,远程控制,音频聊天),AZORult(AZORult是一种信息窃取的恶意软件,随着时间的推移已经发展成为一种多层功能的软件)和.NET模块的加入就可以推断出。

Necurs利用XMRig挖掘门罗币

3月份,研究人员发现Necurs将修改过的门罗币挖掘软件XMRig加入到它的功能模块中(XMRig本身是合法的挖掘软件),在我们检测时,Necurs利用XMRig在24小时内赚了大约1200美元。

Necurs僵尸网络的新变化

上图显示了攻击者使用XMRig挖掘门罗币所得收入的屏幕截图,配置此XMRig模块的用户是“47CCqA1ERkT6jUT8yhgJj7dkdHXhBw86 xiKsCdZ6auDmCC3mAQLpBxP2nhpGuHA27tToNeZM98Tz FKe6vjCajdHdCz67iRB.worker”

4月份,研究人员观察到它将远程访问木马FlawedAmmyy加入其功能模块中。FlawedAmmyy是通过合法的远程访问工具Ammyy Admin进行木马化的,与远程桌面工具一样,FlawedAmmyy具有Ammyy Admin的功能,包括远程桌面控制,文件系统管理,代理支持和音频聊天功能。

Necurs通过C&C命令加入不同的模块,这些模块要被检查是否符合以下条件:

1.恶意载荷是否带有加密钱包,Necurs模块会检查目标计算机是否具有包含“%APPDATA%”下存在的以下任何字符串的文件,例如:

· WALLET.DAT

· BITCOIN-QT

· ELECTRUM

· COINBASE

· MULTIBITHD

· WALLET.AES

· LITECOIN

· MONERO

· BITCOINCORE

2.是否能够进入与银行相关的域名,模块会执行“net view”和“net user”等命令以检查以下字符串:

· BANQ

· BANK

· BANC

· SWIFT

· BITCOIN

· WESTERNUNION

· MONEYGRAM

· CARD

3.是否能在拥有100名以上的员工或用户的网络中运行恶意模块,这些模块执行“net user”和“net domain”以查看计算机是否连接到具有100个以上用户的网络。

4.运行与POS相关进程的模块;

5.是否有可以使用硬编码列表中的电子邮件地址来进行登录的恶意模块,这些模块包含的一些硬编码列表的模块将检查与计算机关联的电子邮件帐户是否在列表中。我将在下面的“Necurs利用其中的模块来筛选有用的电子邮件”一节中详细介绍这一部分。

如果FlawedAmmyy RAT里的模块符合上面列出的标准,则它就会被Necurs吸收。会话初始化后,受感染设备上的FlawedAmmyy RAT就会开始工作,窃取并发回用户的信息,其中包括与设备相关的信息,比如计算机名称、用户ID、操作系统信息、所安装的杀毒软件信息甚至恶意软件构建时间、智能卡是否连接等。

Necurs僵尸网络的新变化

FlawedAmmyy RAT发回的信息

Necurs利用其中的模块来筛选有用的电子邮件

在5月下旬,研究人员就发现了一些Necurs模块,这些模块不但泄露了电子邮件帐户信息并将它们发送到hxxp://185[.]176[.]221[.]24/l/s[.]php。如果有人安装并登录到Outlook,Outlook就会创建一个目录 “%AppData%\Roaming\Microsoft\Outlook\”,该目录将会存储文件名中带有电子邮件字符串的凭证。接着,该模块将在文件名中搜索带有电子邮件字符串的文件,然后将这些字符串返回。

Necurs僵尸网络的新变化

存储凭证的目录,其中文件名的一部分包含电子邮件格式的字符串

仅仅过了几天,研究人员就看到了4个新模块加入其中,这些模块虽然没有FlawedAmmyy RAT,但却具有独特的功能,它们内部包含硬编码的电子邮件列表。这四个模块会检查其中的电子邮件地址是否在任何列表中,这与他们能够提取组成列表的电子邮件地址的方式相同 ,如果是这样,则删除FlawedAmmyy RAT。

在检查了硬编码的电子邮件列表后,研究人员发现攻击者可能会使用关键字匹配来获取他们感兴趣的电子邮件地址。

Necurs僵尸网络的新变化

非常相似的电子邮件地址列表,除了与银行相关的电子邮件地址外,列表中的某些电子邮件地址似乎属于政府机构。进一步分析后,研究人员提取了电子邮件地址列表中使用的不同关键字。根据关键词,攻击者似乎对政府,金融机构,旅游和食品行业以及房地产公司表现出极大的兴趣。

Necurs僵尸网络的新变化

从四个Necurs模块中的电子邮件地址列表中提取的关键字

垃圾邮件攻击策略可能发生变化

Necurs的另一个值得注意的变化是,它常用的垃圾邮件攻击策略可能发生变化。

在2018年6月11日,研究人员就看到Necurs推出一个.NET垃圾邮件模块,该模块能够发送电子邮件并窃取来自Internet Explorer,Chrome和Firefox的登录凭据,此.NET垃圾邮件模块的某些功能部分与其中一个开源远程访问工具重叠。

Necurs僵尸网络的新变化

上图左侧是.NET垃圾邮件模块中的Firefox StealerModule模块,右侧是QuasarRAT(2015年xRAT已改名为QuasarRAT)的相似模块。当Necurs将.NET垃圾邮件模块放到模块后,Necurs就会得到执行二进制文件的参数。以下是研究人员从Necurs的C&C中收到的命令的截屏。

Necurs僵尸网络的新变化

.NET模块命令的屏幕截图

.NET垃圾邮件模块(sha1:c25fcdf464202ef4226d085b8e495f4e5064125e)会根据给定的参数执行不同的操作:

-sendcorp:通过受害者的Outlook发送电子邮件;

-sendprivate:通过受害者的Gmail和Yahoo发送电子邮件;

-subject:电子邮件的主题;

-attach:以base64格式发送的电子邮件的附件;

-name:电子邮件的发件人地址;

-body:以base64格式发送电子邮件的正文;

-demo:将副本发送到给定的电子邮件地址;

Necurs僵尸网络的新变化

.NET垃圾邮件模块发送的电子邮件,其中包含上图中的参数

以下是.NET模块的一些值得注意的功能:它可以使用受害者计算机上登录过的电子邮件帐户发送垃圾邮件,并且可以访问存储在电子邮件客户端中的受害者联系人列表以及受害者之前使用过的电子邮件地址。因为.NET模块可以删除从受害者的电子邮件帐户发送的电子邮件的记录并捕获所有安全警报,所以受害者将无法注意到,会有人通过他们的电子邮件地址发送的垃圾邮件。

在过去,Necurs是直接通过其中的恶意模块向受害者发送垃圾邮件,不过这样很容易被杀毒软件的黑名单设置的IP阻止。但是,如果垃圾邮件是通过带有白名单IP的合法电子邮件客户端发送的,则IP阻止方案就会失效。此外,这些垃圾邮件来自接收方已识别的电子邮件帐户。虽然这种技术并不新鲜,比如银行木马EMOTET和Ursnif / Dreambot已经采用了这种垃圾邮件技术,不过这是Necurs首次采用这个新技术。

通过对样本中的参数进行分析,研究人员相信这些新加入的模块是针对未来的攻击活动,而进行的测试运行,还有一种可能就是,这是恶意软件开发者向可能的潜在客户演示.NET模块功能。

所有哈希列表(SHA256)都在此列表中,需要详细了解请点击。