在销声匿迹三个月之后,Necurs僵尸网络再次起死回生,并重新发动使其臭名昭著的大宗垃圾邮件活动。Necurs (Backdoor.Necurs)是2016年中最大的恶意邮件传播者,发起了大量传播垃圾Locky勒索软件(Ransom.Locky)的邮件活动。该僵尸网络于2016年12月24日停止活动,对感染恶意软件的垃圾邮件的传播水平有着立竿见影的影响。
在2016年12月(Necurs 表现活跃的最近一个月),赛门铁克所阻挡的每98封电邮中就有一封含有恶意软件。在2017年1月,该比例降到1/772,2月又升至1/635。
[click_to_tweet:1]
图1.在Necurs 于去年十二月份离线后,赛门铁克发现内含恶意软件的电邮比例有了明显下降
Necurs 于2016年12月末突然停止活动,最后一次发送垃圾邮件是从12月22日开始,到12月24日结束。赛门铁克刚开始认为Necurs幕后的网络犯罪团伙是因为圣诞节的原因而暂时休息一下,因为这是他们的一贯做法。然而,圣诞节过后,该网络仍没有继续执行任何活动。没有任何网络罪犯遭到逮捕或非法网络基础设施遭销毁的信息,Necurs的销声匿迹让人无法解释。
有几家媒体曾在一月份声称Necurs已继续执行传播Locky的垃圾邮件活动,但规模要比之前小得多。在此期间,赛门铁克并没有发现任何有关Necurs的垃圾邮件活动。赛门铁克认为媒体所报道的Locky垃圾邮件活动是另一伙垃圾邮件传播团伙所为。
在Necurs重现前,赛门铁克发现了其恢复活动的一些证据。从二月中旬开始,该团伙并开始在网络上部署新的命令和控制服务器。
Necurs垃圾邮件传播活动于3月20日开始,赛门铁克仅在第一天便阻挡了近200万封恶意电邮。自此之后,赛门铁克在该活动期间每小时平均阻挡10万封恶意电邮。
[click_to_tweet:2]
赛门铁克阻挡电邮的数量只是Necurs发送垃圾邮件总量的一部分,这表明了其活动的庞大规模,以及其对各种机构的破坏力。
图2.自Necurs于2017年3月20日死灰复燃后,赛门铁克所记录的Necurs垃圾邮件数量
在Necurs消失之前,其主要因其传播恶意软件的垃圾邮件活动而臭名远扬,且经常是通过隐藏在电邮附件中的JavaScript和Office宏下载器传播恶意软件。就在该僵尸网络于去年十二月份停运前,其开始传播有关“先拉后砸”的股票诈骗垃圾电邮。Necurs避免恶意软件活动,并转而将目标集中在这些所谓“先拉后砸”的诈骗活动之上。
Necurs发出的电邮有很多种,但均采用了类似形式,即声称这些信息来自于某位股评人。几种电邮佯称收信者曾注册订阅了一份投资新闻简报。所有这些电邮都是推荐一个公司的股票。发信者自称拥有内部信息,并透露该公司的每股售价将超出目前价格的十倍之多。一些标题栏的内容包括:
这些电邮有一点类似于典型的“先拉后砸”的股票诈骗,诈骗者先获取一些小型公司的大量低价股票,之后造谣说该股价将上涨,比如声称该公司将要被收购或将发布重要的新产品。股价上升后,诈骗者便卖掉所有股票,导致股价立即下跌,使受害者无望收回支出。
Necurs回归后仍能继续执行大宗垃圾邮件活动,这个事实表明无论之前其出于何种原因而销声匿迹,其能力似乎没有受到任何影响。该僵尸网络是否会继续传播恶意软件还有待观察。然而,Necurs活动的规模之大意味着不管它传播什么,都将为我们带来巨大的威胁。
为了使用户计算机免遭添加至该僵尸网络之中,赛门铁克和诺顿产品采用了以下检测方法:
反病毒:
入侵防御系统