Necurs殭屍網路的新變化

Necurs殭屍網路是在2012年首次被發現的, 它是世界上最大的惡意殭屍網路之一，甚至被稱為「惡意木馬傳播的基礎設施」，曾有多個惡意家族木馬的傳播被證明或懷疑與Necurs木馬構建的殭屍網路有關，包括臭名昭著的勒索病毒Locky、Jaff，以銀行憑證為主要目標的木馬Dridex等。

雖然已經出現6年時間了，但Necurs似乎並沒有消失的跡象，而且每隔一段時間似乎都有新的迭代版本出現。最近趨勢科技的研究人員發現Necurs的攻擊方式似乎發生了一些很大的變化，例如在傳播信息盜取程序時，Necurs只會對具有某些特定特徵的程序表現出特別的興趣。這些行為變化可能會產生巨大的影響，因為Necurs過去曾被用於大規模的網路犯罪。

另外Necurs早已實現了模塊化的設計，可以根據不同的任務而載入不同的惡意模。在2017年，我們就看到過Necurs利用代理模塊發送垃圾郵件的技術。然而，與2017年最後一個季度的垃圾郵件活動相比，今年Necurs的垃圾郵件數量明顯減少。不過於此同時，研究人員卻看到Necurs出現在許多的加密貨幣挖礦和信息竊取的攻擊中，這從FlawedAmmyy RAT（它允許攻擊者獲取到對受感染計算機的完全訪問許可權，從而執行遠程惡意伺服器的一系列命令，包括文件管理器，視圖屏幕，遠程控制，音頻聊天），AZORult（AZORult是一種信息竊取的惡意軟體，隨著時間的推移已經發展成為一種多層功能的軟體）和.NET模塊的加入就可以推斷出。

Necurs利用XMRig挖掘門羅幣

3月份，研究人員發現Necurs將修改過的門羅幣挖掘軟體XMRig加入到它的功能模塊中（XMRig本身是合法的挖掘軟體），在我們檢測時，Necurs利用XMRig在24小時內賺了大約1200美元。

上圖顯示了攻擊者使用XMRig挖掘門羅幣所得收入的屏幕截圖，配置此XMRig模塊的用戶是「47CCqA1ERkT6jUT8yhgJj7dkdHXhBw86 xiKsCdZ6auDmCC3mAQLpBxP2nhpGuHA27tToNeZM98Tz FKe6vjCajdHdCz67iRB.worker」

4月份，研究人員觀察到它將遠程訪問木馬FlawedAmmyy加入其功能模塊中。FlawedAmmyy是通過合法的遠程訪問工具Ammyy Admin進行木馬化的，與遠程桌面工具一樣，FlawedAmmyy具有Ammyy Admin的功能，包括遠程桌面控制，文件系統管理，代理支持和音頻聊天功能。

Necurs通過C＆C命令加入不同的模塊，這些模塊要被檢查是否符合以下條件：

1.惡意載荷是否帶有加密錢包，Necurs模塊會檢查目標計算機是否具有包含「％APPDATA％」下存在的以下任何字元串的文件，例如：

·WALLET.DAT

·BITCOIN-QT

·ELECTRUM

·COINBASE

·MULTIBITHD

·WALLET.AES

·LITECOIN

·MONERO

·BITCOINCORE

2.是否能夠進入與銀行相關的域名，模塊會執行「net view」和「net user」等命令以檢查以下字元串：

·BANQ

·BANK

·BANC

·SWIFT

·BITCOIN

·WESTERNUNION

·MONEYGRAM

·CARD

3.是否能在擁有100名以上的員工或用戶的網路中運行惡意模塊，這些模塊執行「net user」和「net domain」以查看計算機是否連接到具有100個以上用戶的網路。

4.運行與POS相關進程的模塊；

5.是否有可以使用硬編碼列表中的電子郵件地址來進行登錄的惡意模塊，這些模塊包含的一些硬編碼列表的模塊將檢查與計算機關聯的電子郵件帳戶是否在列表中。我將在下面的「Necurs利用其中的模塊來篩選有用的電子郵件」一節中詳細介紹這一部分。

如果FlawedAmmyy RAT里的模塊符合上面列出的標準，則它就會被Necurs吸收。會話初始化後，受感染設備上的FlawedAmmyy RAT就會開始工作，竊取並發回用戶的信息，其中包括與設備相關的信息，比如計算機名稱、用戶ID、操作系統信息、所安裝的殺毒軟體信息甚至惡意軟體構建時間、智能卡是否連接等。

FlawedAmmyy RAT發回的信息

Necurs利用其中的模塊來篩選有用的電子郵件

在5月下旬，研究人員就發現了一些Necurs模塊，這些模塊不但泄露了電子郵件帳戶信息並將它們發送到hxxp://185[.]176[.]221[.]24/l/s[.]php。如果有人安裝並登錄到Outlook，Outlook就會創建一個目錄 「%AppData%RoamingMicrosoftOutlook」，該目錄將會存儲文件名中帶有電子郵件字元串的憑證。接著，該模塊將在文件名中搜索帶有電子郵件字元串的文件，然後將這些字元串返回。

存儲憑證的目錄，其中文件名的一部分包含電子郵件格式的字元串

僅僅過了幾天，研究人員就看到了4個新模塊加入其中，這些模塊雖然沒有FlawedAmmyy RAT，但卻具有獨特的功能，它們內部包含硬編碼的電子郵件列表。這四個模塊會檢查其中的電子郵件地址是否在任何列表中，這與他們能夠提取組成列表的電子郵件地址的方式相同 ，如果是這樣，則刪除FlawedAmmyy RAT。

在檢查了硬編碼的電子郵件列表後，研究人員發現攻擊者可能會使用關鍵字匹配來獲取他們感興趣的電子郵件地址。

非常相似的電子郵件地址列表，除了與銀行相關的電子郵件地址外，列表中的某些電子郵件地址似乎屬於政府機構。進一步分析後，研究人員提取了電子郵件地址列表中使用的不同關鍵字。根據關鍵詞，攻擊者似乎對政府，金融機構，旅遊和食品行業以及房地產公司表現出極大的興趣。

從四個Necurs模塊中的電子郵件地址列表中提取的關鍵字

垃圾郵件攻擊策略可能發生變化

Necurs的另一個值得注意的變化是，它常用的垃圾郵件攻擊策略可能發生變化。

在2018年6月11日，研究人員就看到Necurs推出一個.NET垃圾郵件模塊，該模塊能夠發送電子郵件並竊取來自Internet Explorer，Chrome和Firefox的登錄憑據，此.NET垃圾郵件模塊的某些功能部分與其中一個開源遠程訪問工具重疊。

上圖左側是.NET垃圾郵件模塊中的Firefox StealerModule模塊，右側是QuasarRAT（2015年xRAT已改名為QuasarRAT）的相似模塊。當Necurs將.NET垃圾郵件模塊放到模塊後，Necurs就會得到執行二進位文件的參數。以下是研究人員從Necurs的C&C中收到的命令的截屏。

.NET模塊命令的屏幕截圖

.NET垃圾郵件模塊（sha1：c25fcdf464202ef4226d085b8e495f4e5064125e）會根據給定的參數執行不同的操作：

-sendcorp：通過受害者的Outlook發送電子郵件；

-sendprivate：通過受害者的Gmail和Yahoo發送電子郵件；

-subject：電子郵件的主題；

-attach：以base64格式發送的電子郵件的附件；

-name：電子郵件的發件人地址；

-body：以base64格式發送電子郵件的正文；

-demo：將副本發送到給定的電子郵件地址；

.NET垃圾郵件模塊發送的電子郵件，其中包含上圖中的參數

以下是.NET模塊的一些值得注意的功能：它可以使用受害者計算機上登錄過的電子郵件帳戶發送垃圾郵件，並且可以訪問存儲在電子郵件客戶端中的受害者聯繫人列表以及受害者之前使用過的電子郵件地址。因為.NET模塊可以刪除從受害者的電子郵件帳戶發送的電子郵件的記錄並捕獲所有安全警報，所以受害者將無法注意到，會有人通過他們的電子郵件地址發送的垃圾郵件。

在過去，Necurs是直接通過其中的惡意模塊向受害者發送垃圾郵件，不過這樣很容易被殺毒軟體的黑名單設置的IP阻止。但是，如果垃圾郵件是通過帶有白名單IP的合法電子郵件客戶端發送的，則IP阻止方案就會失效。此外，這些垃圾郵件來自接收方已識別的電子郵件帳戶。雖然這種技術並不新鮮，比如銀行木馬EMOTET和Ursnif / Dreambot已經採用了這種垃圾郵件技術，不過這是Necurs首次採用這個新技術。

通過對樣本中的參數進行分析，研究人員相信這些新加入的模塊是針對未來的攻擊活動，而進行的測試運行，還有一種可能就是，這是惡意軟體開發者向可能的潛在客戶演示.NET模塊功能。

所有哈希列表（SHA256）都在此列表中，需要詳細了解請點擊原文。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！