安天发布《Necurs样本分析报告》

时间 ：  2017年04月10日  来源：  安天

近日，安天实验室安全研究与应急处理中心分析人员发现Necurs僵尸网络近期恢复了活跃。在僵尸网络程序出现可利用代理模式进行DDoS攻击特性的同时，又重新发送垃圾邮件影响股票市场。所以，分析人员对该家族样本做了分析，现对样本做简要介绍。

Necurs僵尸网络是世界上最大的僵尸网络之一，曾因利用垃圾邮件传播Locky等勒索软件而引人注目。Necurs模块化的设计模式使得它很容易产生版本迭代和功能扩展。截至近日，Necurs僵尸网络程序在原本主模块、Spam等功能模块、可动态加载其他模块的rootkit等模块的结构基础上扩展了SOCKS代理和DDoS等功能模块。

Necurs僵尸网络程序在感染主机上成功执行后，会利用漏洞升级自身，并将自身复制为C:\Installer {根据主机信息生成的BotGUID}\ syshost.exe，而后启动自身，退出父进程。子进程启动后会调用netsh.exe，将自身添加至防火墙白名单中（Windows XP系统则会禁用防火墙）。

Necurs僵尸网络本身具有复杂的混合命令与控制模式。既可以和命令控制服务器进行通信，也可以利用点对点功能共享命令控制服务器的IP地址列表。在通信过程中，可尝试利用程序资源中加密过的原始IP地址列表连接服务器，也可使用多种域名生成算法识别和连接服务器。

Necurs最新的两个模块是代理模块和DDoS模块。其中，僵尸网络程序提供两种操作模式（直接代理和回连代理）来保证中继连接；在DDoS模块中，虽然并未利用放大技术增加攻击强度，但仅以其僵尸网络的规模而言，最基本的攻击技术依然能产生强大的破坏力。

Necurs僵尸网络程序模块化的特性，为如何随着时间的推移改变作业方法提供了范例。尽管主要以其垃圾邮件模块而著称，但是Necurs是一个可以用于不同目的的多模块恶意软件。相对应的，在威胁演进的同时，安全厂商也要持续跟踪不断变化的威胁动态，最大程度的保障用户的安全价值。

参考链接：
https://antiy.pta.center/_lk/details.html?hash=FE929245EE022E3410B22456BE10C4F1