安全孩子可能对Necurs僵尸网络并不陌生,并且可能想用他们毕生所学的一切来“摧毁”它。最近,微软似乎实现了这一愿望。雷锋网3月11日消息,微软昨天宣布,他们成功摧毁了Necurs僵尸网络,该僵尸网络已经在全球范围内感染了超过900万台电脑,两个月内产生了380万封垃圾邮件,并劫持了其中的大部分。基础设施。1、微软成功破解Necurs僵尸网络据外媒报道,微软之所以能够破解Necurs僵尸网络,得益于35个国家/地区的国际警方和私营科技公司的协同行动。微软表示,为了打败Necurs,他们破解了僵尸网络通过算法生成新域的技术——DGA。DGA(DomainGenerateAlgorithm域名生成算法)是使用时间、字典和硬编码常量通过一定的算法生成的域名。DGA生成的域名是随机的,用于连接中心架构僵尸网络中的C&C服务器,从而规避域名黑名单检测技术。攻击者可以通过运行算法生成DGA域名,然后随机选择少量域名进行注册,并将域名绑定到C&C服务器。受害者机器被植入恶意程序后,运行DGA算法生成域名,检查该域名是否可以连接。如果无法连接,它将尝试下一个域名。当这一切都落入僵尸网络手中时,你的电脑就会瘫痪,后果不堪设想。因此,为了更彻底地摧毁Necurs僵尸网络,微软联合35个国家破解该算法,成功预测该网络在未来25个月内可能创建的600万个域名,并通知全球域名管理机构。防止未来的攻击。此外,在法院命令的帮助下,微软还接管了Necurs现有的美国域,控制了用于分发恶意软件和感染受害者计算机的美国基础设施。微软表示:“通过控制现有网站并禁止注册新网站的能力,我们已经显着‘破坏’了僵尸网络,”微软为此计划了八年。2.世界上最大的僵尸网络之一:Necurs僵尸网络。简单地说,僵尸网络是指使用恶意代码控制互联网的设备,使它们像僵尸一样失去原有的“意识”。这些僵尸网络在C2端(即控制者)的指挥下协同行动,形成僵尸网络。僵尸网络的一个重要功能就是进行DDoS攻击,即启动这些硬件同时发起对特定服务器的访问,导致对方网络瘫痪,无法正常运行。在僵尸网络的世界里,“弱肉强食”的规律依然盛行。谁控制了最强的男人,谁就拥有了最强大的“军队”,可以在网络世界中杀戮和征服城市和领土。一般的操作是恶意bots扫描整个网络,一旦发现易受攻击的设备(电脑、硬件等),就会立即入侵并控制它,将其置于僵尸大军的指挥之下,然后利用新的僵尸设备作为跳板继续感染其他设备。这很像丧尸片中病毒的指数级传播模式。这些僵尸大军的设备数量从数千到数百万不等,很容易理解为什么安全公司总是想方设法将其击落。我们来看看微软这次摧毁的Necurs僵尸网络。Necurs僵尸网络于2012年首次被发现,由数百万台受感染设备组成,每次运行各种电子邮件诈骗时,它一直致力于分发银行恶意软件、加密劫持恶意软件、勒索软件和数百万收件人。在过去八年中,Necurs僵尸网络已发展成为世界上最大的垃圾邮件分发组织。然而,Necurs不仅仅是一个垃圾邮件程序,它是一个模块化的恶意软件,包含一个主要的僵尸网络模块、一个用户级的Rootkit,并且可以动态加载其他模块。Necurs在2017年开始活跃,当时人们注意到它在传播Dridex和Locky勒索软件,每小时向全球计算机发送500万封电子邮件。图片来源:freebuf所有者:freebuf在昨天发布的另一份报告中,“从2016年到2019年,Necurs是犯罪分子发送垃圾邮件和恶意软件的首选方法,使用电子邮件在全球传播,90%的恶意软件都使用这种方法。”微软表示:“在我们为期58天的调查中,我们观察到一台受Necurs感染的计算机向多达4060万潜在受害者发送了总共380万封垃圾邮件。”根据研究人员发布的最新统计数据,印度、印度尼西亚、土耳其、越南、墨西哥、泰国、伊朗、菲律宾和巴西是受Necurs恶意软件攻击最多的国家。不过,还是有人担心互联网世界的僵尸可能会层出不穷。3.Necurs会卷土重来吗?其实,打击僵尸网络是一场持久战,安全人员也一直在为此努力,只可惜,僵尸网络总会卷土重来。雷锋网了解到,2015年10月,包括FBI和NCA在内的国际联合行动摧毁了Necurs僵尸网络,但很快又死灰复燃,之后主要用于传播Locky勒索软件。此后,在安全人员的控制下,Necurs僵尸网络开始“收敛”,但新的迭代似乎时不时出现。2018年4月,研究人员观察到其在其功能模块Medium中添加了远程访问木马FlawedAmmyy。FlawedAmmyy是通过合法的远程访问工具AmmyyAdmin木马化的,与远程桌面工具一样,FlawedAmmyy具有AmmyyAdmin的功能,包括远程桌面控制、文件系统管理、代理支持和语音聊天功能,Necurs通过C&C命令添加了不同的模块,窃取并发回用户信息,其中包括与设备相关的信息,例如计算机名称、用户ID、操作系统信息、安装的杀毒软件信息甚至恶意软件构建时间、智能卡是否已连接等。2018年5月下旬,研究人员发现Necurs模块会泄露电子邮件帐户信息并将它们发送到hxxp://185[.]176[.]221[.]24/l/s[.]php。如果有人安装并登录Outlook,Outlook将创建一个目录“%AppData%RoamingMicrosoftOutlook”,它将在文件名中存储带有电子邮件字符串的凭据。接下来,该模块将搜索包含电子邮件字符串的文件,并返回这些字符串。2018年6月,研究人员发现Necurs推出了一个.NET垃圾邮件模块,该模块能够发送电子邮件并从InternetExplorer、Chrome和Firefox窃取登录凭据。开源远程访问工具重叠。而现在我们还不确定微软这次破坏的效果如何,Necurs会不会东山再起。因此,雷锋网建议大家对来源不明的邮件内容要格外小心,以免被僵尸网络攻击。程序也应该谨慎,定期运行杀毒软件。
