IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

对一系列邮件攻击的分析与Necurs僵尸网络溯源

发布时间:2017-08-18 13:38文章来源:互联网文章作者: 互联网点击次数:
事件背景: 近日腾讯安全反病毒实验室捕获了一系列通过邮件进行传播的攻击。这次攻击分为三个主要阶段和其后不断地变种攻击,都是借助钓鱼邮件的形式进行传播的。经过我们的分析,这些攻击是来自一个团伙。 下图这封邮件是第三次邮件钓鱼攻击中的一封邮件。

事件背景:

近日腾讯安全反病毒实验室捕获了一系列通过邮件进行传播的攻击。这次攻击分为三个主要阶段和其后不断地变种攻击,都是借助钓鱼邮件的形式进行传播的。经过我们的分析,这些攻击是来自一个团伙。 下图这封邮件是第三次邮件钓鱼攻击中的一封邮件。 图片1.png 自7月24号起到7月31号,不法分子发起了三次攻击,规模越来越大,作恶方式,技术手段也不断更新。木马作者为了不法利益,步步为营,机关算尽。并且,密切跟踪发现,目前不法分子仍在不断变换方式进行攻击,每日仍有大量木马新变种被陆续发现。 下面我们将从事件概述,溯源分析,技术手法等方面对此次攻击进行介绍。

事件概述:

下图展示的就是此次发现的攻击的概况: 图片2.png 可见短短的一周事件,黑客就发起了三次攻击,并且后续的攻击仍在继续中。

Trick Bot攻击:

第一起发生在7月24号,规模较小,当天有50多封钓鱼邮件。攻击是通过一个带附件的邮件进行传播的。附件是一个wsf的脚本,运行后会下载另外一个加密的脚本,并最终下载解密运行可执行文件。这个可执行文件正是去年的一种银行木马,叫做Trick Bot。最终的目的就是注入浏览器,盗取用户与银行有关的信息和密码。

Globelmposter707勒索:

第二起发生在7月27号,相比于第一次,这次规模更大,有600多封邮件。这次是通过运行带有宏的word文档,来执行恶意行为的。如果用户电脑word开启了宏,运行word后会从C&C服务器下载样本。最终用户电脑会被全盘加密勒索,被加密文件后缀名为707,此次加密类型也包含了exe文件,这与之前发生的勒索加密有些差异。加密可执行文件有可能导致用户电脑程序无法打开或者崩溃,这对用户危害更大,作恶手段也更恶劣。经过调查,此类加密木马是一类叫做Globelmposter的勒索病毒。 图片3.png

Globelmposter725勒索:

经过前两次的试探,7月31号,真正的较量拉开了序幕。此次攻击规模非常大,共计有近3000封邮件,这次收到的是压缩包,里面存放了vbs脚本,最终会通过脚本下载exe,并实现加密。这次加密后的后缀是725。弹出的勒索框与707是类似的。这两次攻击事件所使用的恶意样本是一个勒索家族系列的。三次攻击,黑客使用的发件人邮箱都是随机生成的,没有什么规律。 图片4.png

最新变种:

腾讯安全反病毒实验室密切关注此次事件,并且建立了同类木马的监控方案。通过监控发现,进入8月以后,木马作者仍然在继续通过邮件传播的方式传播木马新型变种,变种木马作恶流程与之前基本一致,只不过加密文件后的后缀发生了变化。目前陆续发现的新的加密后缀包括726、coded等多种类型。 图片5.png

影响范围:

目前统计这次攻击的国内中毒地域分布,广东和北京中招的用户较多: 图片6.png

溯源僵尸网络:

追踪幕后黑手

下图展示了三次攻击的流程。 图片7.png 首先第二次和第三次的勒索方式,一个是707,一个是725,都是一类Globelmposter勒索病毒。弹出的勒索信息界面也极为相似。下图中,左图为707的勒索界面,右图为725的勒索界面。
对一系列邮件攻击的分析与Necurs僵尸网络溯源
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/netsafe/Website/1050818.html

标签分类:

上一篇:上一篇:BoopSuite:基于Python编写的无线安全审计套件
下一篇: 下一篇:没有了
无觅关联推荐,快速提升流量