安天发布《Necurs样本分析报告》

近日,安天实验室安全研究与应急处理中心分析人员发现Necurs僵尸网络近期恢复了活跃。在僵尸网络程序出现可利用代理模式进行DDoS攻击特性的同时,又重新发送垃圾邮件影响股票市场。所以,分析人员对该家族样本做了分析,现对样本做简要介绍。

Necurs僵尸网络是世界上最大的僵尸网络之一,曾因利用垃圾邮件传播Locky等勒索软件而引人注目。Necurs模块化的设计模式使得它很容易产生版本迭代和功能扩展。截至近日,Necurs僵尸网络程序在原本主模块、Spam等功能模块、可动态加载其他模块的rootkit等模块的结构基础上扩展了SOCKS代理和DDoS等功能模块。

Necurs僵尸网络程序在感染主机上成功执行后,会利用漏洞升级自身,并将自身复制为C:\Installer {根据主机信息生成的BotGUID}\ syshost.exe,而后启动自身,退出父进程。子进程启动后会调用netsh.exe,将自身添加至防火墙白名单中(Windows XP系统则会禁用防火墙)。

Necurs僵尸网络本身具有复杂的混合命令与控制模式。既可以和命令控制服务器进行通信,也可以利用点对点功能共享命令控制服务器的IP地址列表。在通信过程中,可尝试利用程序资源中加密过的原始IP地址列表连接服务器,也可使用多种域名生成算法识别和连接服务器。

Necurs最新的两个模块是代理模块和DDoS模块。其中,僵尸网络程序提供两种操作模式(直接代理和回连代理)来保证中继连接;在DDoS模块中,虽然并未利用放大技术增加攻击强度,但仅以其僵尸网络的规模而言,最基本的攻击技术依然能产生强大的破坏力。

Necurs僵尸网络程序模块化的特性,为如何随着时间的推移改变作业方法提供了范例。尽管主要以其垃圾邮件模块而著称,但是Necurs是一个可以用于不同目的的多模块恶意软件。相对应的,在威胁演进的同时,安全厂商也要持续跟踪不断变化的威胁动态,最大程度的保障用户的安全价值。

参考链接:
https://antiy.pta.center/_lk/details.html?hash=FE929245EE022E3410B22456BE10C4F1