僵尸网络Necurs的“魔爪”

译自:http://blog.talosintelligence.com/2018/01/the-many-tentacles-of-necurs-botnet.html#more

0x01 简介

在过去的五年多时间,Necurs僵尸网络是世界上最大的垃圾邮件生产商,Necurs发送了大量内含银行恶意软件,勒索软件,约会邀请,买进-套现股票骗局,数字货币钱包凭据钓鱼的垃圾邮件,以致于Talos一天内监控到的垃圾邮件的百分之90以上都是Necurs发出的。

为了对Necurs进行深入的分析,Talos选取了2017年八月到十月间Necurs发起的32次不同的垃圾邮件活动,采集了从200多个国家和地区的1.2亿个不同ip地址发出的2.1亿条垃圾邮件。

0x02 Necurs的收件人

从邮件的分发和传递角度来说,Necurs并不是很复杂,Necurs的收件人数据库包括在线收集的电子邮件地址以及自动生成的邮件地址,这些邮箱地址很糟糕很不可靠,任何合法的电子邮件发送者都不会连续一天向这些地址发送邮件,而僵尸网络Necurs没有这样的顾虑。很长时间以来,Necurs的数据库的邮箱地址似乎大部分都是静态的,在过去一年甚至更长时间里,Necurs都没有添加新的邮件地址。在2017年的10月,Necurs停止了向许多自动生成的账户发送邮件。

Necurs会向诸如equifax@之类的邮箱地址发送垃圾邮件,而这类邮箱地址最初是在2017年Equifax信息泄露事件发生的前几年从Equifax里面窃取出来的,以我一个私人域名为例,Necurs也经常向我以前使用的一个邮箱地址thisisatestmessageatall@”发送邮件,此外还有一些其他真实邮箱地址的变种,例如“aeson@”,“20jaeson@”,“eson@”都是我的邮箱地址“jaeson@”的变种,由此我们也发现数字20经常会出现在很多Necurs收件人的开头。

Necurs邮寄列表的其他地址似乎是自动生成的,例如: “EFgUYsxebG@”、“ZhyWaTmu@”、“MTAyOvoYkx@”,这些账户收到的唯一一封邮件都来自于Necurs。下图是Necurs发往自动生成的邮箱地址的邮件

autogen.png

从Necurs的垃圾邮件信息中,Talos提取了不同收件人域名上的大量邮箱别名,其中有一些古怪的邮箱别名在多个域名上出现过,例如“unity_unity[0-9]@”、“petgord32truew@”、“docs[0-9]@”、“iamjustsendingthisleter@”,等等。

image12.png

0x03 Necurs的发送节点IP

接下来,talos提取了发送垃圾邮件节点的ip地址,我们根据地理位置把Ip地址分组,我们发现这些节点不是均匀地分布在世界各地,而是集中在一小部分国家,%25.7在印度,%20.3在越南,%7.3在伊朗,这三个国家总共占了%51.3。相比之下,其他的工业化国家只有少量的发送节点,在将近120万个Necurs发送节点中,美国只有6314个发送节点,而Russia只有38个发送节点。下图为每个国家发出的垃圾邮件数量

image6.png

为了确定每次活动中发送方IP地址被复用的频率,Talos也分析了单个的垃圾邮件活动。我们发现只有极少数的ip被复用。事实上,没有IP地址同时出现在32次活动中,仅仅只有3个ip地址同时出现在30次活动中。绝大部分的发送方IP地址,从来没有出现过两次。这就意味着Necurs僵尸网络足够大,不需要复用很多发送节点,就可以发送几个月的攻击。这很厉害

image8.png

0x04 Necurs的垃圾邮件活动

Necurs的邮件活动通常被分为两类:大量的工作日活动,少量的持续性活动。有些时候Necurs也在周末发起大量的活动,但是绝大多数的大量活动还是集中在工作日。Necurs的邮件地址列表数据库似乎是分离的,大量的活动用数据库中邮件地址的一个子集,而少量的活动使用另一个不同的邮件地址的集合。

1.买进-抛出 股票垃圾邮件
下面是Necurs在2017年四月12号发的一个买进-抛出股票的垃圾邮件示例,该邮件鼓吹QSMG股票,在接下来的一天QSMG的股价达到了峰值$2.33,股价暴涨,借助提前投资了该股票,罪犯可能获得巨大收益。而现在QSMG股价低于$0.02。下图为鼓吹垃圾股票QSMG的邮件

image9.png

下图:4月13QSMG股价为$2.33,现在股价低于$0.02

image3.png

2.约会垃圾邮件
Necurs也发送约会垃圾邮件,最近发送的约会垃圾邮件中没有了URL网址,仅有一个rambler.ru免费邮箱的链接地址,而以前的垃圾邮件中用的是gmx.com之类的免费邮箱,经常用到一些指向fast-fluxed域名或是恶意网站的网址链接。下图为Necurs的约会垃圾邮件,其特征为内含rambler.ru邮箱地址

dating.png

如果你理会了这些约会消息,你可能就会被登记在俄罗斯的约会网站,例如marmeladies.site。这种情况下,犯罪分子可能通过将用户引入这些约会网站而谋取利益。下图为受害者被诱骗到的一个约会网站:Marmeladies

Screen Shot 2018-01-17 at 4.17.23 PM.png

3.勒索软件
勒索软件是我们所熟知的Necurs的众多载荷其中之一,Necurs是Locky勒索软件最大的散播源,locky以一种附属模式工作,每个Necurs发出的垃圾邮件里面都有一个locky的样本里面,样本里都有一个相同的附属ID。大多数情况下,设计这些邮件消息只需要极少的成本,下图就是一封Necurs发出的含有勒索软件的邮件

image4.png

4.数字货币凭据钓鱼
Necurs的幕后黑手注意到比特币和E币等数字货币的价值水涨创高,因此他们使用一些精心构造的看起来和合法钱包管理网站域名相似的域名来发起攻击活动,在下面的邮件中,注意“mymyetherwallet.com”其中多出的“my”

mymyetherwallet.png

这个被注册的域名和真正的E钱包管理网站域名很相似,最近,Necurs的攻击者从先前的鼓吹股票骗局中想到一个相对比较新的关于数字货币的手段,他们进行了一次鼓吹SIC的垃圾邮件活动。下图就是一封诱使收件人买进SIC股票的邮件

image15.png

5.工作垃圾邮件
Necurs也发过少量的工作垃圾邮件,邮件中包含许多指向新注册域名的链接。例如,下面一个2017年10月30号发的一封邮件,我们可以看到邮件中有一个指向supercoins.top域名的链接(URL中的附属id总是相同)。下图是一封Necurs发出的少量工作垃圾邮件示例

Screen Shot 2018-01-17 at 4.28.08 PM.png

0x05 归因

1.WHOIS-AGENT@GMX.com
检查这些域名的whois记录,我们可以看到域名的详细注册信息,注意注册人的邮箱“whois--agent@gmx.com”,攻击参与者试图模糊观察者的视线,一定程度上使他们相信这个域名是通过第三方whois隐私保护服务注册。公众可以获取到@gmx.com邮箱账户,这种情况下,攻击者在注册域名时使用设置的邮箱别名“whois-agent”即可。

image2.png

对whois-agent@gmx.com注册的域名进行复查,发现其拥有399个域名
我们可以辨别出钓鱼域名

amex-notification.com
amexcardmail.com
amexmailnotification.com
natwestonlinebanking.info
hsbc-sec.site
dropbox-ch.co
dropbox-fileshare.com
dropboxmailgate.com
paypa1.info
sage-uk.com
sagepay.info

和数字货币网站相似的域名

myetlherwa11et.com
myetlherwalllet.com
rnyetherwa11et.com
blockchaifn.info
blockchaign.info
blockchainel.info
blockchaingr.info
blockchait.info
blockchalgn.info
blockchalne.info
blockchalner.info
blockchalng.info
blockchanel.info
blockchart.info
blockchatn.info
blockcheing.info
blockcheit.info
blockclmain.info
blockclnajn.info
bloclnchain.info
bloknchain.info

假冒的flash更新域名

flash-ide-update.top
flash-ime-update.top
flash-one-eupdate.top
flash-one-update.info
flash-player-update.info
flash-update-player.info

伪造成政府机构的域名

asic-gov-au.co
australia-gov-au.com
canadapost-office.info
govonfraud.info

对这些域名进行被动DNS检查,我们找到一些其他重要线索,尽管大多数域名仅仅被注册一年,但是攻击者仍然会选取一些域名去注册更长的时间,例如pp24.ws。而pp24.ws这个网站就是一个买卖窃取来的信用卡数据、ssh账户凭据的线上市场。

image11.png

被动式的DNS也暴露了一些实例,攻击者绑定不同注册用户注册的许多域名在同一个ip地址上,例如,talos分析了一个攻击者域名的被动DNS记录,我们发现这个域名被绑定在单个ip上几个月,当我们复查其他绑定在此ip上的域名时,我们发现有些域名并不归属于‘whois-agent@gmx.com’

image1.png
image13.png

2.whois-protect@hotmail.com
当我们检查上面的域名“setinofis.pw”的注册信息时,我们发现了一个不同的注册人,而该域名的注册人邮箱地址是“whois-protect@hotmail.com”,和“whois-agent@gmx.com”一样,这是攻击者试图迷惑观察者,使他们相信该域名有whois隐私保护,而事实上,攻击者直接控制着这个邮箱账户。

image16.png

检查与whois-protect@hotmail.com邮箱地址有关联的1103个域名,我们可以看到很多在之前违法活动中出现过的域名
钓鱼域名

amex-psk.org
amexsafetykey.org
applerecoveryprogram.com
applerecoveryprogram.top
barcalys-offers-online.com
bt-europe.com
btconnect.biz
btconnect.info
bttconnect.com
dhl4.com
docusign-australia.com
docusign-net.com
docusigner.org
dropbox-eu.com
dropboxa.com
dropboxes.org
dropboxsharing.com
dropboxsmarter.com
e-intuit.com
efaxplus.com
global-intuit.com
hsbcbank.top
inc-r.com
ing-update.info
kbc-bank.info
paupal.info
paypa.info
poypa1.info
quickbooks-intuit-uk.com
quickbooks-support.biz
quickbooksonlineaccounting.com
sage-uk.org
sageim.com
sages.biz
sagetop.com
security-hsbc.site
servicebying.com
telestrasystems.com
vodafonestore.net
wellsfargocertificate-637-9270.com

针对数字货币的域名

blockchfain.info
blokochain.info
myethelrwallet.com
myetherwallet.top
myetherwlallet.com
myethlerwallet.com
rnyetherwlallet.com

假冒Flash更新域名

flash-foe-update.win
flash-ire-update.win
flash-new-update.info
flash-old-update.top
flash-ome-update.win
flash-one-eupdatee.top
flash-one-eupdatte.top
flash-one-update.top
flash-one-update.win
flash-onenew-update.info
flash-ooe-update.win
flash-ore-update.win
flash-oue-update.top
flash-owe-update.win
flash-oxe-update.win
flash-oye-update.win
flash-playernewupdate.info
flash-toe-update.win
flash-woe-update.win
flash-yoe-update.win
flashnew-update.info
flashplayernew-update.info

甚至假冒政府域名

afp-gov-au.com
asic-au-gov.com
asic-gov-au.com
asic-government-au.com
asic-mail-gov-au.com
asic-message-gov-au.com
asic-notification-gov.com
ato-gov-au.net
augovn.com
austgov.com
australiangovernement.com
australiangovernments.com
federalgovernmentaustralia.com
gov-invoices.info
goviau.co

3.tzyywz@qq.com
检查与“whois-privacy@hotmail.com”有关联的一些域名的注册信息,我们可以发现这些域名中有一些是其他注册人注册的,而“whois-privacy@”只是管理员和技术联系人邮箱地址,这就泄露了攻击者使用的另一个注册人邮箱地址,“tayywz@qq.com”
image17.png

通过域名工具查到这个qq邮箱和2500多个域名有联系,而这个qq邮箱注册的域名大多数都是特殊的顶级域名,例如.bid,.top,我们一眼就能看到不合法的域名
一些特殊风格的域名

aapk.bid
aapo.bid
aapq.bid
aapu.bid
aapv.bid
aapw.bid
aapx.bid
jbanj.top
jcqth.top
jhtaq.top
jhugs.top
jian0.top
jian1.top
jian2.top
jian3.top

非法域名

amex-notification.com
amexaccountvalidate.com
amexcardcustomerservice.com
amexcardmail.com
amexcardpersonalsafetykey.com
amexcardpsk.com
amexcardsafetykey.com
amexcardservice.com
amexcardservicevalidate.com
amexcardsupport.com
amexcardsupportservice.com
amexcardsupportteam.com
amexcardverification.com
amexcardverified.com
amexcardverifier.com
amexcloudcervice.com
amexcustomersupport.com
amexmailnotification.com
amexotpcardcustomerservice.com
amexotpcardsupport.com
amexotpgenerate.com
amexotpgeneratesetup.com
amexotpsetup.com
amexotpsetupcustomerservice.com
amexotpsetupservice.com
amexpersonalsafekey.com
amexpersonalsafetykey.com
amexpersonalsafetykeyregistration.com
amexpersonalsafetykeysupport.com
amexpskcustomerservice.com
amexpskkey.com
amexpsksupport.com
amexsafetykeycustomerservice.com
amexverifier.com
amexverifierservice.com
docusign-australia.com
docusign-net.com
dropboxbusinessaccount.com
mail-asic-government-au.com
postbank-kundennummer43.com
postbank-kundennummerfinnaz.com
salesforceproaccount.com
verifybyamericanexpress.com
verifybyamexcards.com
yandex-login.com
yandex-user578185.com
yandex-user912.com
yandex-user952.com

4.揭露更多的域名注册人账户
我们用相似的技术把更多的注册邮箱账户和攻击者关联起来,当用passive DNS研究一个先前发现的域名“blokochain.info”时我们发现了一些有意思的事情。在2017年10月21号,这个特殊的域名被绑定到一个ip地址,而这个ip地址隶属于阿里巴巴的云主机产品,当我们分析绑定到该ip地址的其他域名时,我们发现了许多域名是由我们之前发现的“whois-agent@gmx.com”和“whois-privacy@hotmail.com”邮箱注册的,也发现几个其他邮箱注册的域名

image23.png

Screen Shot 2018-01-17 at 5.21.06 PM.png

5.seoboss@seznam.cz
在绑定到阿里巴巴ip上的众多域名中,我们发现了域名“paltruise.gdn”,而注册这个域名的邮箱是“seoboss@seznam.cz”,这个邮箱注册了125个域名,其中许多域名都用于恶意活动。根据这个链接,Rig Exploit Kit中就用到了这些域名,“paltruise.gdn”是在2017年的10月19号被绑定到了47.90.202.68这个阿里巴巴的ip,仅仅过了两天,“whois-protect@”注册的域名也被绑定到了该ip

6.galicole@mail.com
域名“indian-trk711.com”的注册人邮箱为“indian-trk711.com”,2017年10月25到30间,这个域名被绑定到47.254.18.28,非常接近之前我们发现的其他恶意域名绑定ip的时间
2017年1月16,DomainTools找到了918个注册人邮箱是“galicole@mail.com”的域名,我们从其中发现了精华

1royalbankrbcdirect.top
amex-onlinesecurity.top
buydumps.top
buydumpsonline.top
carder-cvv-shop.top
carder-cvv.name
carding-cvv-shop.top
carding-shop-cvv.top
carding-shop-track2.top
cardingcvv.top
cardingshoponline.top
cvv-carder.name
cvv-online-market.com
cvv-shop-carder.name
cvv-valid.info
cvv2-online-store.top
cvvcarder.name
cvvdumppluspin.top
cvvshopcarder.top
dumps-shop-valid.top
dumps-valid-shop.top
dumpsonlinestore.top
dumpsshopvalid.top
netflic-validatesystem.info
netflix-information.info
netflix-supportvalidate.info
netflix-verifysupport.info
netflix-veriificationbilling.info
netflixveriify.info
shop-dumps-valid.top
shop-online-cvv2.info
shop-online-dump.top
shopcardingonline.top
shopcardingtrack2.top
shopcvv2online.biz
shopcvvcarding.top
shopdumpsvalid.top
shoptrack2carding.top
store-cvv-online.biz
storecarderverified.biz
storecvv2.name
track2-shop-verified.biz
track2cardingshop.top
track2verifiedshop.top
valid-dumps.top
valid-market-cvv.top
valid-shop-cvv.top
valid-shop-dumps.top
validdumpsshop.top
verified-carder-store.com
verifiedcarderstore.biz
verifieddumpsshop.top
verifiedstorecarder.biz
verifiedtrack2shop.info

7.xlbs@tvchd.com
“xlbs@tvchd.com”注册了域名“daccat.at”,谷歌搜索这个域名,在Hybrid Analysis上找到了这个链接,显示这个特殊域名是恶意软件的一部分。在Virus Total上,68个反病毒引擎中有50个检测到这个域名为恶意域名

经过验证,talos确定2017年的10月19到30间,ip地址47.90.202.68对应的一个阿里云实例被控制,这个ip地址是不是非法域名服务的一部分呢?在这些注册人邮箱账户和相关联的域名背后是否有一个邪恶的组织?只有参与这个组织的罪犯能够说清楚。Talos持续保持对这种情况的监控,并进一步破解这些罪犯采用的商业模式

0x06 结论

既然Necurs僵尸网络它又回来了,而且试图再一次用垃圾邮件和恶意软件塞满我们的收信箱,一方面,Necurs僵尸网络很大,每一次活动都是从不同节点发起,因此很难防御,黑名单过滤已是一个失效的策略。对于网络防护者来说,幸运的是,Necurs造成的危害有限,并没有那么多的收件人会重复上当受骗,我们希望Necurs不断变化攻击方式,来使用户保持对威胁的警惕性。

标签: none

添加新评论