伪装成“发票到期”电子邮件,传播Neutrino僵尸网络

栏目: 编程工具 · 发布时间: 5年前

内容简介:近日,深信服安全团队捕获到一个新型垃圾邮件,其中包含受密码保护的Word文档,团队中的相关人员对其进行了深入的分析,发现是同样类型的Neutrino最新版本僵尸程序。Neutrino属于Kasidet家族,此次病毒通过伪装成“发票到期”的电子邮件并且带有密码保护的附件进行传播,带有密码保护的电子邮件可能会给人一种安全感。在此深信服提醒广大用户:陌生人发来的陌生文档,邮件不要轻易打开。邮件内容如下:

一、 背景介绍

近日,深信服安全团队捕获到一个新型垃圾邮件,其中包含受密码保护的Word文档,团队中的相关人员对其进行了深入的分析,发现是同样类型的Neutrino最新版本僵尸程序。

二、 样本信息

Neutrino属于Kasidet家族,此次病毒通过伪装成“发票到期”的电子邮件并且带有密码保护的附件进行传播,带有密码保护的电子邮件可能会给人一种安全感。在此深信服提醒广大用户:陌生人发来的陌生文档,邮件不要轻易打开。邮件内容如下:

伪装成“发票到期”电子邮件,传播Neutrino僵尸网络

图1 邮件内容屏幕截图

伪装成“发票到期”电子邮件,传播Neutrino僵尸网络

图2 需要输入密码才能打开的Word文档

“Invoice.doc”附件中包含一个宏,如果用户的宏安全设置为低,则文档将自动启动宏。此外,宏受密码保护。面对这种情况,大多数用户都不知道这份文件会在后台做些什么。如下:

伪装成“发票到期”电子邮件,传播Neutrino僵尸网络

图3 启用宏内容

伪装成“发票到期”电子邮件,传播Neutrino僵尸网络

图4宏受密码保护

查看宏内容显示它将从hxxp//209.141.59.124/1.exe下载文件,然后保存至%Temp%\qwerty2.exe并启动。宏内容如下:

伪装成“发票到期”电子邮件,传播Neutrino僵尸网络

图5宏内容

qwerty2.exe主要功能如下:

a) DDOS攻击

b) 信息窃取

c) FTP嗅探

d) 反调试、反虚拟机和反沙箱

e) 文件下载

本次分析涉及的文件信息如下:

伪装成“发票到期”电子邮件,传播Neutrino僵尸网络

三、 样本分析

1. 样本运行后先执行一段混淆代码,然后通过“MapViewOfFile”将文件进行映射。

伪装成“发票到期”电子邮件,传播Neutrino僵尸网络

伪装成“发票到期”电子邮件,传播Neutrino僵尸网络

图6 映射后的代码数据

2. 将映射后的数据进行解密,通过跳转到ZwSetInformationProcess函数将DEP关闭,然后在转入解密后的数据并执行。

伪装成“发票到期”电子邮件,传播Neutrino僵尸网络

图7 解密后的数据

伪装成“发票到期”电子邮件,传播Neutrino僵尸网络

伪装成“发票到期”电子邮件,传播Neutrino僵尸网络

图8 跳转到解密后的代码并执行

3. 获取cpuid信息(包括型号,信息处理器)、操作系统版本、地理位置、网卡配置和IP信息。

伪装成“发票到期”电子邮件,传播Neutrino僵尸网络

图9 获取cpuid

伪装成“发票到期”电子邮件,传播Neutrino僵尸网络

图10 获取地理位置

伪装成“发票到期”电子邮件,传播Neutrino僵尸网络

图11动态加载Getadaptersinfo获取网卡配置和IP

4. 为了防止恶意程序被多次运行Neutrino恶意软件创建互斥体:“{FC502D82-2B78-8E2F-95F0-8FA2992433F6}”。

伪装成“发票到期”电子邮件,传播Neutrino僵尸网络

图12 创建互斥体

5. 修改文件创建时间、设置文件属性、设置注册表Run启动,确保在受感染的机器上持久存活。

伪装成“发票到期”电子邮件,传播Neutrino僵尸网络

图13 注册表Run启动

6. 动态加载CreateToolhelp32Snapshot、Module32First、M odule32Next函数遍历进程模块与事先设定好的进程模块进行比较,如果遍历到相同进程模块,则终止执行。

伪装成“发票到期”电子邮件,传播Neutrino僵尸网络

图14 遍历进程

7. 使用IsDebuggerPresent、CheckRemoteDebuggerPresent判断程序是否正被调试。使用GetTickCount、Sleep、GetTickCount进行单步执行时间检测。使用QueryDosDevices检测虚拟机(比如:VMware),判断是否处于虚拟环境中,使用EnumWindows、GetClassName进行窗口检测。

伪装成“发票到期”电子邮件,传播Neutrino僵尸网络

图15 判断程序是否被调试

伪装成“发票到期”电子邮件,传播Neutrino僵尸网络

图16 窗口名检测

8. 如果程序加载成功,便会加载核心程序,使用CryptStringToBinary API函数解密嵌入的C&C URL将获取的信息以 POST的方式发送到securityupdateserver4.com。这些响应包会以注释形式嵌入到空白html页面中,为避免让用户发觉。捕获的流量包如下:

伪装成“发票到期”电子邮件,传播Neutrino僵尸网络

图17 捕获到的流量包

总结:

僵尸程序最主要的特点就是可以一对多地执行相同的 恶意 行为,比如可以同时对某目标网站进行 分布式拒绝服务 (DDOS)攻击,同时发送大量的 垃圾邮件 等,而正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务。僵尸程序一旦构成了一个攻击平台,便可利用这个平台有效地发起各种各样的攻击行为,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动。

四、 相关IOC

Md5:E875E978CCDD5A02AEEFB207F83F7E16

Md5:30B43B2437A5CA665279D4A47A18CE7C

IP:209.141.59.124

域名:securityupdateserver4.com

Url:http//209.141.59.124/1.exe

五、 病毒防御

1. 及时给电脑打补丁,修复漏洞。

2. 陌生人发来的陌生文档,邮件不要轻易打开

3. 对重要的数据文件定期进行非本地备份

4. 建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。


以上所述就是小编给大家介绍的《伪装成“发票到期”电子邮件,传播Neutrino僵尸网络》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

赛博空间的奥德赛

赛博空间的奥德赛

(荷兰)约斯·德·穆尔 (Jos de Mul) / 麦永雄 / 广西师范大学出版社 / 2007-2 / 38.00元

本书揭示了数码信息时代的电子传媒与赛博空间为人类历史的发展提供的新的可能性。本书第一部分“通向未来的高速公路”,涉及无线想象、政治技术和极权主义在赛博空间的消解等题旨;第二部分“赛博空间的想象” ,讨论空间文学探索简史、电影和文化的数码化;第三部分”可能的世界” ,关涉世界观的信息化、数码复制时代的世界、数码此在等层面;第四、五部分探讨主页时代的身份、虚拟人类学、虚拟多神论、赛博空间的进化、超人文......一起来看看 《赛博空间的奥德赛》 这本书的介绍吧!

随机密码生成器
随机密码生成器

多种字符组合密码

html转js在线工具
html转js在线工具

html转js在线工具

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具