歷時 8 年,微軟聯合 35 個國家成功摧毀了全球最大的僵屍網絡組織 Necurs !

雷鋒網 於 11/03/2020 發表 收藏文章
搞安全的童鞋可能對 Necurs 僵屍網絡並不陌生,很可能還想用盡畢生所學“摧毀”它。

最近,這個願望似乎已經被微軟實現了。雷鋒網 3 月 11 日消息,微軟昨天宣佈他們成功摧毀了 Necurs 僵屍網絡,該僵屍網絡已感染了全球超過 900 萬台計算機,兩個月內產生了 380 萬封垃圾郵件,並劫持了其大部分基礎設施。

微軟成功搗毀 Necurs 僵屍網絡

據外媒報道,此次微軟能夠破獲 Necurs 僵屍網絡得益於 35 個國家/地區的國際警察和私人科技公司協調行動的結果。

微軟表示,為了搗毀 Necurs ,他們破解了該僵屍網絡通過算法生成新域的技術——DGA 。

DGA ( Domain Generate Algorithm 域名生成算法)是一種使用時間,字典,硬編碼的常量利用一定的算法生成的域名。DGA 生成的域名具有為隨機性,用於中心結構的僵屍網絡中與 C&C 服務器的連接,以逃避域名黑名單檢測的技術。

攻擊者可通過運行算法生成 DGA 域名,然後隨機選擇其中的少量域名進行註冊,並將域名綁定到 C&C服務器。受害者的機器被植入惡意程序後運行 DGA 算法生成域名,並檢測域名是否可以連接,如果不能連接就嘗試下一個域名,如果可以連接就選取該域名作為該惡意程序的控制端服務器域名,而這一切到了僵屍網絡手裏,你的電腦就會癱瘓,後果不可謂不嚴重。

所以,為了更徹底的摧毀 Necurs 僵屍網絡,微軟聯合 35 個國家破解了這一算法,併成功預測了未來 25 個月內該網絡可能創建的 600 萬個域,通報給全球各地的域名管理機構,預防將來遭到攻擊。此外,在法院命令的幫助下,微軟還接管了 Necurs 在美國的現有域,獲得了對美國基礎設施的控制,這些基礎設施用於分發惡意軟件和感染受害計算機。

引用微軟表示:“通過控制現有網站並抑制註冊新網站的能力,我們已經大大‘破壞’了僵屍網絡。”

值得一提的是,這一行動微軟策劃了八年。

全球最大的僵屍網絡之一:Necurs 僵屍網絡

在談 Necurs 僵屍網絡之前,雷鋒網先帶大家了解下僵屍網絡。

簡單的説,僵屍網絡指的是那些利用惡意代碼控制互聯網上的設備,讓他們像殭屍一樣失去了原本的“意識”,這些僵屍網絡在 C2 端(也就是控制者)的命令下統一行動,就組成了僵屍網絡。僵屍網絡的一個重要作用就是進行 DDoS 攻擊,也就是發動這些硬件對特定服務器同時發起訪問,造成對方網絡癱瘓,無法正常運行。

而在僵屍網絡的世界裏,還盛行着一條“弱肉強食”的法則,誰手上控制的壯丁最多,誰就擁有最強大的“部隊”,可以在網絡世界裏肆意殺伐,攻城略地。

一般操作是,惡意殭屍程序在全網進行掃描,一旦發現有漏洞的設備(電腦、硬件等等),就馬上入侵控制,把它納入殭屍大軍麾下,再以新的殭屍設備為跳板,繼續感染其他設備。這像極了殭屍片中病毒的指數級擴散模式。

這些殭屍大軍,少則有幾千台設備,多則達到數百萬台設備,這也就很容易理解為什麼安全公司總在想辦法摧毀他們了。

再來看下微軟此次摧毀的 Necurs 僵屍網絡。


Necurs 僵屍網絡於 2012 年首次被發現,它由幾百萬台受感染的設備組成,一直致力於分發銀行惡意軟件、加密劫持惡意軟件、勒索軟件以及每次運行時發送給數百萬收件人的各種電子郵件進行詐騙。在過去 八年裏,Necurs 僵屍網絡已經發展成為全球最大的垃圾郵件傳播組織。

然而,Necurs 並不僅僅是一個垃圾郵件程序,它是一個模塊化的惡意軟件,包含了一個主僵屍網絡模塊、一個用户級 Rootkit ,並且可以動態加載其它模塊。

2017 年,Necurs 開始活躍起來,其在傳播 Dridex 和 Locky 勒索軟件時被注意到,每小時可向全球計算機發送 500 萬封電子郵件。


【 圖片來源:freebuf 所有者:freebuf 】

研究人員在昨日發佈的另一份報告中説:“從 2016 年到 2019 年,Necurs 是犯罪分子發送垃圾郵件和惡意軟件的最主要方法,利用電子郵件在全球傳播惡意軟件的 90% 都使用了這種方法。”

微軟説:“在 58 天的調查中,我們觀察到一台感染 Necurs 的計算機發送了總共 380 萬封垃圾郵件,潛在的受害者多達 4060 萬。”

根據研究人員發佈的最新統計數據,印度、印度尼西亞、土耳其、越南、墨西哥、泰國、伊朗、菲律賓和巴西是受到 Necurs 惡意軟件攻擊最多的國家。

不過,現在還有一點擔心是,互聯網世界裏的殭屍有可能是打不盡的。

Necurs 還會捲土重來嗎?

事實上,打擊僵屍網絡這件事是個持久戰,安全人員也一直在為此做努力,但無奈的是,僵屍網絡總是會再次捲土重來。

雷鋒網了解到, 2015 年 10 月,一次包含 FBI 和 NCA 在內的國際聯合行動摧毀了 Necurs 僵屍網絡,但是很快它又復活了,之後就主要用於傳播 Locky 勒索軟件。此後,在安全人員的控制下,Necurs 僵屍網絡 雖然有所“收斂”,但每隔一段時間似乎都有新的迭代版本出現。

2018 年 4 月,研究人員觀察到它將遠程訪問木馬 FlawedAmmyy 加入其功能模塊中。FlawedAmmyy是通過合法的遠程訪問工具 Ammyy Admin 進行木馬化的,與遠程桌面工具一樣,FlawedAmmyy 具有Ammyy Admin 的功能,包括遠程桌面控制,文件系統管理,代理支持和音頻聊天功能,Necurs 通過C&C 命令加入不同的模塊,竊取併發回用户的信息,其中包括與設備相關的信息,比如計算機名稱、用户 ID、操作系統信息、所安裝的殺毒軟件信息甚至惡意軟件構建時間、智能卡是否連接等。

2018 年 5 月下旬,研究人員發現了一些 Necurs 模塊,這些模塊不但泄露了電子郵件帳户信息並將它們發送到 hxxp://185[.]176[.]221[.]24/l/s[.]php 。如果有人安裝並登錄到 Outlook,Outlook 就會創建一個目錄 “ %AppData%\Roaming\Microsoft\Outlook\ ”,該目錄將會存儲文件名中帶有電子郵件字符串的憑證。接着,該模塊將在文件名中搜索帶有電子郵件字符串的文件,然後將這些字符串返回。

2018 年 6月,研究人員看到 Necurs 推出一個 .NET 垃圾郵件模塊,該模塊能夠發送電子郵件並竊取來自 Internet Explorer,Chrome 和 Firefox 的登錄憑據,此 .NET 垃圾郵件模塊的某些功能部分與其中一個開源遠程訪問工具重疊。

而現在我們尚無法確定微軟此次的破壞成效,Necurs 是否還會捲土重來,所以,雷鋒網(公眾號:雷鋒網)建議大家為避免被僵屍網絡攻擊,對於不明來源的電子郵件內容要非常小心,同樣對於不確定來源的安裝程序也要謹慎,要定期運行殺毒軟件。

參考資料:https://www.engadget.com/2020-03-10-microsoft-disrupts-necurs-botnet.html

https://www.geekwire.com/2020/microsoft-helps-take-control-necurs-prolific-botnet-infected-9m-computers-worldwide/

https://thehackernews.com/2020/03/necurs-botnet-takedown.html

https://www.anquanke.com/post/id/84043

https://www.leiphone.com/news/201705/MlHdzjjWbstmBZ6T.html

雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知


資料來源:雷鋒網
作者/編輯:劉琳

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→