Necurs要回來了，Locky還會遠嗎

Check Point公司最近發表了有關2016年12月最活躍惡意軟體的報告，報告表明Locky垃圾郵件的數量在12月下降了81%。而就在10月份，Locky還佔據著全球惡意軟體排行榜的首位，到了12月卻跌出了前十。如果你以為Locky會就此謝幕，那你就錯了。

大家可能知道，Locky勒索軟體的主要傳播途徑是Necurs殭屍網路，Locky能如此肆虐主要得益於Necurs。而聖誕節前到一月中旬的這段時間是網路罪犯們享受聖誕和新年雙節的時間，在此期間，Necurs命令和控制伺服器處於離線狀態，所以Locky也就只能小打小鬧了。

不過思科Talos團隊在幾天前再次觀察到一些垃圾郵件攻擊開始傳播Locky，只是規模較小。採用的仍是典型的腳本文件手段，但增加了一些新花樣。

攻擊1——雙重壓縮Locky

Locky攻擊的電子郵件樣本

這是Talos團隊幾天前觀察到的第一個攻擊。可以看到，郵件中沒什麼信息，主題和正文沒有內容，只是一封帶有附件的空白電子郵件。提取附件後其中有第二個zip文件——71344395.doc.zip，該zip文件使用雙擴展名，目的是讓用戶誤以為是doc文件。該zip文件之中是另一個雙擴展名文件71344395.doc.jse。這是對應於Locky負載的惡意JavaScript。該攻擊中有多個負載。

這是在終端系統上執行的JSE文件。第一個（紅框內）是在網路流量中觀察到的實際請求。緊接該GET請求的是看起來幾乎相同的負載的兩個GET請求。

惡意文件的GET請求

除上圖中的紅框部分外，GET請求是相同的。這樣會將兩個負載傳播到系統——Kovter木馬和Locky勒索軟體。Kovter主要用於點擊欺詐攻擊，會在用戶為解密其文件而支付後繼續在系統中運行（不建議支付贖金的其中一個原因）。

攻擊2——基於Rar的Locky

Locky攻擊的電子郵件樣本

這是Talos團隊第二天開始觀察到的第二個攻擊。該攻擊的內容稍多，主題行和正文中有內容。郵件冒充交易失敗，這是垃圾郵件攻擊中的慣用伎倆。該攻擊使用的是rar文件，而非更常用的zip格式。用戶提取文件後會發現一個js文件——doc_details.js。

惡意Javascript文件

這看起來更像我們通常觀察到的Locky感染的混淆JavaScript。還有一些與該攻擊有關的有意思的細節。

貌似Dridex的GET請求

其一是Locky實例的實際GET請求。如上所示，該URL結構並不是檢索Locky負載通常會看到的結構，而是看起來非常像一個Dridex樣本的請求。另一個獨特方面與所使用的用戶代理(UA)有關。下圖中的數據是從網路通信中捕獲的，表明使用的是python UA，而非更傳統的UA。

新用戶代理示例

這兩次攻擊的數量相對較低，但可能預示著海量攻擊即將到來。

IOC

攻擊1

主題：<無>

正文：<無>

哈希值：

20667ee47576765550f9961b87728128c8d9cf88861096c9715c6fce994e347e（JSE文件）

3c476dfbe53259830c458cf8b323cc9aeeb3d63d5f88cc2976716beaf24bd07c（Zip文件）

2d51e764bf37e2e8c845d980a4d324e8a1406d04a791a57e6082682ce04517db（Zip文件）

79ffaa5453500f75abe4ad196100a53dfb5ec5297fc714dd10feb26c4fb086db(Locky)

域名：

bolayde[.]com

tangopostale[.]com

攻擊2

主題：交易被阻止。交易編號：<隨機數>

哈希值：

0822a63725345e6b8921877367e43ee23696d75f712a9c54d5442dbc0d5f2056（JS文件）

55d092af73e5631982da6c165dfa704854b92f74eef0846e4b1aad57d0215251（Rar文件）

ec9c06a7cf810b07c342033588d2e7f5741e7acbea5f0c8e7009f6cc7087e1f7(Locky)

域名：

unwelcomeaz[.]top

結語

2016年，Locky攻擊發送了數百萬封惡意郵件，穩坐垃圾郵件頭把交椅，它能否在2017年繼續橫行呢？我們就希望賺的盆滿缽滿的Necurs和Locky幕後黑客大佬們能繼續在海灘多享受幾個星期吧！

參考來源

（點擊閱讀原文查看鏈接）

http://blog.talosintel.com/2017/01/locky-struggles.html

https://www.bleepingcomputer.com/news/security/locky-ransomware-activity-goes-down-by-81-percent/

http://www.informationsecuritybuzz.com/study-research/locky-ransomware-attackers-take-christmas-vacation-shows-check-point-research/

*本文作者：華為未然實驗室，轉載請註明來自Freebuf.COM