投稿者:Eduardo Altares,Wei Wang Dai 和 Mingwei Zhang
最近,我们发现Necurs僵尸网络又开始大肆发送电子邮件。最新一波电邮正到处传播Locky勒索软件(Ransom.Locky)的新变体和Trickybot (Trojan.Trickybot)。这波攻击令人关注之处是:网络攻击者所用的下载器具有了从受害者那里收集遥测数据的新功能,可抓取屏幕并将这些图片发回至远程服务器。该下载器还具有错误报告功能,可在其执行活动时,将所遇到的错误详细信息送回。
请当心那些提供假发票的陌生人
这些新出现的电邮使用了经过实践证明的发票格式(采用社交工程学技术),并通常含有以下详细内容:
主题:发票状态 [虚假发票编号]
附件:[虚假发票编号].html
电邮正文中包含一条消息,催促收信者打开附件以查看发票。
在这种情况下可使用标准的预防措施;当陌生人通过电邮向您提供发票或文件时,最安全的做法就是将邮件删除。
图1.Necurs僵尸网络发送的典型发票
如果打开随附的 .html文件,则该文件将通过内嵌框架下载一个Java脚本。这个脚本将下载Locky或Trickybot这两种净负荷。
网络攻击者也需要操作情报
除了下载和执行最终净负荷的标准功能外,该下载器还能运行PowerShell脚本,从而抓取屏幕并将其保存至一个名为generalpd.jpg的文件之中。
该下载器将等待保存操作完成(几秒钟),之后发出将此保存文件上传至远程服务器的命令。
图2.获取屏幕截图并将其上传的PowerShell脚本
这种功能引起我们注意的是:所述下载器通常在传送净负荷后便立刻消失不见了。在考虑抓屏功能和错误报告功能之后,不难得出Necurs网络攻击者正积极地尝试收集有关其攻击活动效果的操作情报(OPINTEL)。操作系统中的崩溃报告可帮助软件公司解决问题并生产更好的产品。上述错误报告和崩溃报告极为相似,可帮助网络攻击者在实际应用中发现问题并加以解决,从而提高成功率。毕竟,网络攻击者不能指望受害者来报告错误和问题!
[click_to_tweet:1]
Necurs:凶猛反攻
从2016年末至2017年初,Necurs经历了很长一段时间的沉寂期。Necurs于今年三月份重浮水面,从此便提高了攻击活动级别,在最近几个月的活动次数更是达到了2017年的最高水平。
图3.赛门铁克遥测数据显示,在六月份以来,带有脚本文件的Necurs电邮在数量上增长至原来的四倍之多
我们的数据显示出上述攻击活动的重现,以及网络攻击者收集操作情报的决心。因此,我们认为在未来的几个月中,所述下载器的功能将不断进化,而Necur的活动级别也会稳步提升。
随着活动的继续演变,不管网络攻击者选择怎么做,我们的分析人员都将密切关注事态的进展。
缓解措施
为了使用户免受勒索软件和其他威胁的影响,赛门铁克建议用户遵守以下最佳经验:
- 删除所有接收到的可疑电邮,尤其是内含链接或附件的电邮。
- 始终及时更新安全软件,以防御任何恶意软件新变体。
- 及时更新操作系统和其他软件。软件更新将包括频繁的补丁更新,用以修补网络攻击者可能利用的安全漏洞。
- 定期对计算机上的所有文件进行备份。如果计算机遭勒索软件感染,则删除恶意软件后才能修复文件。
保护
为了使用户免遭上述攻击影响,赛门铁克和诺顿产品采用了以下检测方法:
反病毒
入侵防御系统