COVID-与传统邮件僵尸网络家族
新兴邮件木马家族
AgentTesla
AgentTesla 是本年度在影响规模方面增长最快的邮件木马。
AgentTesla 是典型的间谍类木马,当前的主要版本会窃取各类浏览器
中的凭证、各种 FTP 客户端 应用中的用户信息、主机键盘记录、窗口程序中文本、并定时截取受控端主机桌面截图并上传至攻击者 邮箱,其 C&C通信通常使用 SMTP 协议。单论软件功能,AgentTesla 可以说比较简陋,缺少 RAT木马的高级功能与足够的扩展能力。这款 木马之所以能广为传播,原因在于其分发模式。早期,AgentTesla 的作者使用多等级许可证
的模式出 售软件,最低规格的许可证售价仅为 15 美元:
阶梯式售价的方式显然吸引了大量黑客群体试用这款木马,使得 AgentTesla 在野样本数量在 2018 年迎来一次爆发。随后,AgentTesla 的销售转入地下,但样本数量的持续增长显示其客户规模不降反增。
通常,AgentTesla 使用邮件附件的方式投递,但在具体形式上五花八门。比如,部分样本使用漏 洞文档执行下载,常用漏洞为 CVE-2017-11882 和 CVE-2017-8570;另一些样本则是带有文档图标伪 装的应用程序
,通常是 autoit 脚本程序的可执行封装。所有样本都会经过多级的释放流程,各层载荷 会使用垃圾代码、开源项目代码、代码混淆、杀毒程序检测等对抗手法高存活率。值得注意的是, AgentTesla 这些中间载荷使用的编程语言、核心逻辑甚至代码水平都有很大差异。考虑到会购买间谍 软件的黑客不太可能有太强的编码和对抗能力,这一现象说明 AgentTesla 木马很可能有一个由作者、 销售者、部分使用者构成的团队维护。如果一个“小黑”能够轻松地从 AgentTesla 销售的手里购买到 从投递到执行整个过程的黑客工具,那么他在传播恶意程序方面的能力将会极大提升。#### MazeRansom
今年来,恶意邮件和各种漏洞极大助长了勒索软件的传播。其中,Maze 勒索软件因其较大的影响 范围和出格的宣传行为,吸引了大量关注。
从代码角度来看,Maze 并没有使用新奇的技术,但程序功能比较完善。
对抗方面,Maze 使用了代码执行
流混淆妨碍静态分析、使用进程检测和调试位检测等常见手段妨 碍动态分析、还会使用垃圾代码增加分析量。功能方面,Maze 则与主流勒索软件完全相同,包括删除卷影副本、加密除 LNK、EXE、SYS、DLL 以外的所有文件、创建勒索文本;加密算法
使用常规的 ChaCha20 加密文件、RSA加密密钥的形式。 Maze 所有自定义项都保存在程序的 config 数据区中。Maze 更新比较频繁,并且会对安全工作者的分析和披露行为进行“回应”,包括加入新的对抗手段, 以及在程序外壳部分写入挑衅式的文本信息等。这与一般认知中勒索软件行事低调和潜伏于暗处的印象 大相径庭。
Maze 在造势方面非常积极。Maze 制作者维护了多个网站,包括 newsmaze.net、mazedecrypt.top 以及对应的暗网页面等,在这些网页中将自己的勒索软件称为“Maze support system”,会“帮助检 测安全问题”。此外,Maze 还声称有多款勒索软件加入了他们的运营模式中,包括 SunCrypt、REvil、 LockBit 等。
Maze 最出格的一点是会在网站中实时更新受害者信息和窃取到的部分文件,声称如果不按时交付 赎金就会放出这些文件。例如疫情期间,该家族就攻击了英国的新冠疫苗测试中心,并窃取了部分患者 信息。
下图为 Maze 网站公布的一则威胁信息,显示某网站已被 Maze 攻击,并已经公开了被盗数据
的 5%:
然而,如日中天的 Maze 团队却在 11 月初发出如下声明,表示其在暗网上将“关闭该项目”:
图 29 Maze 运营者在 11 月的声明
目前尚无法得知该声明是否为烟雾弹行为,但可见的是,这种由 Maze 发扬光大的勒索与泄露相组 合的恶劣运营方式,必将被其他勒索软件所效仿。
BitRAT
近年来,随着 TinyNuke、Gozi 等 RAT木马源码的泄露,黑客开发新型 RAT木马的成本大幅降低。 今年,使用了 TinyNuke 核心 hVNC(隐藏式远程桌面)逻辑的 RAT木马,及 Warzone、BitRAT 等恶意 程序在黑客论坛上大行其道,成为恶意邮件攻击者的新宠。
第三季度出现的 BitRAT可谓当前 RAT木马制作模式的写照。BitRAT通常使用如表格内脚本执行等 较为简单的文档利用方式实现投递,释放层级也较少,并且在投递完成后立即运行。
BitRAT支持的功能较多,包括远程桌面、录像、录音、代理通信、键盘记录、挖矿、进程和文件控 制、凭证窃取等。然而,其核心代码主要来自开源项目,比如 hVNC功能移植自 TinyNuke,录像功能 使用了 OpenCV api,录音功能则来自 WAVE等。
参考较早之前出现的 Warzone 木马,今后 BitRAT可能会增加其攻击链的复杂度,同时迎来一段时 间的扩张期。同时以 Warzone 和 BitRAT为代表,这些全功能的 RAT木马可能会进入低价厮杀的阶段, 作为其载体的恶意邮件数量也会增加。
COVID-与传统邮件僵尸网络家族
Emotet
进入 2020 年,Emotet 依然是世界上危害最大的邮件木马程序。伏影实验室经过抽样统计发现,当 前的恶意钓鱼邮件中有超过 50% 最终投递了 Emotet 木马。
Emotet 家族属于银行木马,出现于 2014 年,主要以垃圾邮件形式传播,感染 Windows 主机后并 盗取用户邮箱来获得重要个人财务信息。该木马的主要维护者是一个被称为 Mealybug 的网络犯罪团伙。 近年来,Emotet 在多起事件中被发现开始用于传播其他恶意家族,涉及银行木马、DDoS 和勒索等,
涉及的木马程序包括 Cridex、IcedID、QakBot、Trickbot、UmbreCrypt、LockerGoga 和 AzoRult 等。
不同于其他邮件木马,Emotet 在获取和利用邮件地址资源上更进一步,它可以使用一个独立的模 块盗窃受害者主机上 Outlook 邮箱中的邮件地址,从而使用这些窃取到的邮件地址作为新的发件人。这 样的方式不但可以获得几乎无限的邮件地址资源,还能够隐藏攻击者的信息,并回避一些邮件地址过滤手段,可谓一举多得。Emotet 使用这种方式构造了一个恶意邮件传播网络,受害者主机作为该网络中 的组件互相关联,极大增加了根除的难度。
Emotet 邮件传播网络的维护者十分重视诱饵内容的构建。目前已发现的 Emotet 鱼叉邮件,其诱饵 形式包括账单、罚单、请柬、通告、工资单等,内容包括信息确认、商务交流、广告宣传等,可谓无所 不包。因此,可以想象作为今年最大热点话题的 COVID-19疫情信息给 Emotet 的扩散提供了怎样的便利。 即第一季度利用疫情诱饵攻击日本目标之后,Emotet 在三季度之后对攻击链进行了一些改动,更新了 文档的图片,并开始大量使用疫情话题制作诱饵文本。伏影实验室发现的借用疫情话题的 Emotet 邮件, 主要可以分为伪造疫情相关新闻或通知、借助疫情内容增加邮件真实度的两种类型。
下图是一季度出现的一例 Emotet COVID-19 鱼叉邮件:
图 30 某针对意大利用户的 Emotet 鱼叉邮件
邮件正文部分填充了使用意大利语书写的世界卫生组织关于 COVID-19疫情的通告,伪装为 COVID-19新闻稿的附件则携带了 Emotet 木马程序,如果邮件接收者执行了该 Emotet 程序,该木马将 会下载包括隐私窃取、键盘记录、远程控制、挖矿等多类恶意程序并运行。
由于 Emotet 诱饵邮件的文本大多由自动化脚本生成,拼写、语法错误和字符集乱码依然是判断 Emotet 钓鱼邮件的重要依照。
NetWire
NetWire,又称 NetWireRC 或 Recam,是一款最早出现在 2012 年的商业级远控木马,曾被尼日利 亚的黑客用于攻击企业目标。多年以来,NetWire 一直在更新版本,并演化出多条不同的攻击链。19 年起, NetWire 进入新一轮的爆发期,借助由鱼叉邮件和网盘组建的扩散网络广为传播。
NetWire 使用者在今年 2 月份开始就开始利用疫情信息构建诱饵邮件和诱饵文档。在一起典型攻击 案例中,NetWire 使用 mapsofworld.com 网站上的 COVID-19疫情地图制作了漏洞诱饵文档,进而通过 CVE-2017-11882 漏洞,最终在受害者主机上植入了最新的 NetWire 变种。该案例中的攻击链如下图:
图 31 Netwire 典型攻击流程漏洞 rtf 文档运行后,通过短链接获取到二阶段载荷的地址并下载运行,二阶段载荷将解密后的字 符串和 Shellcode 注入到 Windows 程序 ieinstal.exe 中运行, Shellcode 访问 GoogleDrive 并将 NetWire 下载到内存中执行。
NetWire 远控木马变种数量众多,但大多是集中在远控功能上的变化,程序本身缺乏杀软对抗与反 分析功能。本年度流行的 NetWire 木马包含获取软硬件信息、文件操作、窗口操作、进程操作、注册表 操作、反弹 shell、输入设备模拟、窃取 Outlook、pidgin 账户信息等 RAT功能。
NetWire v1 版本支持 Windows 和安卓平台,而 v2 后已完全覆盖 Windows、Linux、Mac 和安卓这 4 大主流平台。目前 NetWire 分为轻量版、基础版和高级版,分别以月、年和季度作为许可有效期。轻 量和基础版价格允许折扣,其中轻量版月价最低仅 10 美元,而高级版季度价则高达 1200 美元。
图 32 NetWire 官网售价
可见,用不同的功能和价位来吸引需求不同的购买群体,并限定有效期从而获得持续付费,早已成 为这些商业级远控开发组织的生财之道。
参考资料
绿盟 2020 DDoS攻击态势报告
友情链接
绿盟 2019BOTNET趋势报告
COVID-与传统邮件僵尸网络家族相关推荐
- Botnet趋势传统僵尸网络家族
传统僵尸网络家族 本年度,IoT 平台的主要威胁依然是以 Mirai.Gafgyt 等为代表的主流僵尸网络家族,同时以 Dofloo 为首的多平台僵尸网络家族也活于多种设备环境中.这些木马程序普遍具有 ...
- 年度重点家族盘点—PC僵尸网络家族
Dofloo 本年度,根据 CNCERT物联网 威胁情报平台及绿盟威胁识别系统监测数据,Dofloo 僵尸网络木 马活度高,呈现了超越以往的态势.该家族是知名僵尸网络家族 TFDDoS 的一类稳定变种 ...
- 传统邮件营销推广,真的过时了?
瞧,那块面包过期了. 现在有了QQ.微信等社交软件,传统的邮箱慢慢的被很多做营销推广的人遗忘. 就我身边的人而言,不用邮箱的还算是比较少见,我使用的邮箱是QQ邮箱,而QQ邮箱和QQ绑在一起.而QQ又可 ...
- P2P僵尸网络-家族类别
Pink Pink 家族曾在中国境内感染了超过百万级的设备,其非实效性指令通过 P2P 传递,实效性强的指令通过集中控制的方式发布.是一个设计巧妙的 P2P 僵尸网络家族 Pink 僵尸网络概述 Pi ...
- 密信(Mesince)首创全自动邮件加密,颠覆传统邮件加密软件
为什么80%的码农都做不了架构师?>>> 电子邮件泄密已经成为一个全球性的日益严峻的安全问题,解决这个问题的唯一有效办法就是电子邮件内容先加密后发送.然而,使用基于S/MIME ...
- 密信(MeSince)是什么?和传统邮件加密软件有什么不同?
为什么80%的码农都做不了架构师?>>> 电子邮件客户端是商务人士最为常用的应用之一,目前市场中有各类电子邮件客户端软件和各种智能手机自带的手机邮箱APP,但是唯一缺陷是不能自 ...
- YoMail+ Worktile办公协同--颠覆传统邮件使用功能
有了微信等即时通讯工具,大家是否还需要电子邮件?这是近年来很多IT专业人士一直争论的话题.但最后,不管是微信.还是 Slack,都没有能够"淘汰"电子邮件,这里面有很多原因:电子邮 ...
- 发送垃圾邮件的僵尸网络——药物(多)、赌博、股票债券等广告+钓鱼邮件、恶意下载链接、勒索软件+推广加密货币、垃圾股票、色情网站(带宏的office文件、pdf等附件)...
卡巴斯基实验室<2017年Q2垃圾邮件与网络钓鱼分析报告> 米雪儿 2017-09-07 from:http://www.freebuf.com/articles/network/1465 ...
- 物联网僵尸网络Gafgyt家族与物联网设备后门漏洞利用
一.病毒介绍 Gafgyt(又称BASHLITE,Qbot,Lizkebab,LizardStresser)是一款基于IRC协议的物联网僵尸网络程序,主要用于发起DDoS攻击.它可以利用内置的用户名. ...
最新文章
- MySQL / schema的概念
- ASP.NET Core开发-Docker部署运行
- 命令行编译c#源程序
- 实现阿里云容器镜像服务反向访问代理
- 简洁大气自适应后台登录模板单页源码
- flex Module之间的通信
- sklearn炼丹术之——Linear Models汇总
- python箱线图代码找出异常_matplotlib中的箱线图:标记和异常值
- 文件服务器phpstudy,使用phpstudy搭建ftp服务器
- oracle 还原imp,Oracle学习笔记——imp还原数据库
- 汕尾python高手_放飞梦想,不问所得
- AUTOCAD——快速提取边界线、CAD绘制单双开门
- 苏宁618强势出圈,差异化竞争能力是杀手锏
- http文件服务器(Ubuntu)
- 收集整理的openstack java封装 api的第三方实现的选择
- Scratch、Python、C++,谁才是少儿编程的第一选择?
- 项目管理:PMP、IPMP、CPMP之间区别
- 掌握这5个好用的课件工具,让你秒变课件制作资深教师
- 简历中的项目经历可以怎么写?
- 计算机网络——第4章网络层(下)