做安全的童鞋,大概对Necurs僵尸网络并不陌生,大概想用一生的知识“摧毁”它。最近这个愿望似乎被微软实现了。雷锋网3月11日报道,微软昨天宣布,他们成功摧毁了
做安全的童鞋,大概对Necurs僵尸网络并不陌生,大概想用一生的知识“摧毁”它。
最近这个愿望似乎被微软实现了。雷锋网3月11日报道,微软昨天宣布,他们成功摧毁了Necurs僵尸网络,该网络已经感染了全球900多万台电脑,在两个月内产生了380万条垃圾短信,并劫持了其大部分基础设施。
微软成功捣毁 Necurs 僵尸网络
据国外媒体报道,这次微软能够破解Necurs僵尸网络得益于35个国家/地区的国际警察和私人科技公司的协调行动。
微软表示,为了摧毁Necurs,他们破解了——DGA,僵尸网络通过算法生成新域名的技术。
DGA (Domain Generate Algorithm)是由某种算法使用时间、字典和硬编码常数生成的域名。DGA生成的域名是随机的,用于具有中心结构和C & ampc服务器连接规避域名黑名单检测技术。
攻击者可以通过运行算法生成DGA域名,然后随机选择少量域名进行注册,并将它们添加到C & ampc服务器。受害者的机器被植入恶意程序后,运行DGA算法生成域名,并检测该域名是否可以连接。如果连接不上,试试下一个域名。如果可以连接,就会被选为恶意程序的控制服务器的域名。当这一切来到僵尸网络,你的电脑就会瘫痪,后果很严重。
因此,为了彻底摧毁Necurs僵尸网络,微软在35个国家破解了该算法,并成功预测了网络在未来25个月内可能创建的600万个域名,并通知给世界各地的域名管理机构,以防止未来的攻击。此外,在法院命令的帮助下,微软还接管了Necurs在美国的现有域名,并获得了美国基础设施的控制权,这些基础设施被用于分发恶意软件和感染受害者电脑。
微软表示:“通过控制现有网站和限制注册新网站的能力,我们极大地‘摧毁’了僵尸网络。”
值得一提的是,这次行动是微软策划了八年的。
全球最大的僵尸网络之一:Necurs 僵尸网络
在讲Necurs僵尸网络之前,雷锋网先带你了解一下僵尸网络。
简单来说,僵尸网络是指那些在互联网上使用恶意代码控制设备,使其像僵尸一样失去原有“意识”的人。这些僵尸网络在C2(即控制器)的指挥下统一行动,形成了一个僵尸网络。僵尸网络的一个重要作用就是进行DDoS攻击,即同时启动这些硬件访问特定的服务器,导致对方网络瘫痪,无法正常运行。
在僵尸网络的世界里,“弱肉强食”的法则依然盛行。谁控制了最壮丁,谁就拥有了最强大的“军队”,可以在网络世界里肆意杀戮,攻城略地。
一般来说,恶意僵尸程序会扫描整个网络。一旦易受攻击的设备(计算机、硬件等)。)被发现,它会立即入侵并控制它,将其置于僵尸军队的管辖之下,然后以新的僵尸设备为跳板,继续感染其他设备。这就像僵尸电影中病毒的指数传播模式。
这些僵尸军队从数千设备到数百万设备不等,这就很容易理解为什么安全公司总是试图摧毁它们。
我们来看看这次被微软摧毁的Necurs僵尸网络。
Necurs僵尸网络于2012年首次被发现。它由数百万台受感染的设备组成,并一直致力于分发银行恶意软件、加密劫持恶意软件、勒索软件以及每次运行欺诈时发送给数百万收件人的各种电子邮件。在过去的八年里,Necurs僵尸网络已经发展成为世界上最大的垃圾邮件传播组织。
然而,Necurs不仅仅是一个垃圾程序,而是一个模块化的恶意软件,它包括一个主僵尸网络模块,一个用户级Rootkit,并可以动态加载其他模块。
2017年,Necurs开始活跃,它在传播Dridex和Locky勒索软件时受到关注,每小时可以向世界各地的电脑发送500万封邮件。
[图片来源:freebuf所有者:freebuf]
在昨天发布的另一份报告中,研究人员表示,“从2016年到2019年,Necurs是犯罪分子发送垃圾邮件和恶意软件的最重要方法,其中90%的人使用这种方法通过电子邮件在世界各地传播恶意软件。”
微软表示:“在58天的调查中,我们观察到一台感染了Necurs的电脑总共发送了380万条垃圾短信,潜在受害者有4060万人。”
根据研究人员发布的最新统计数据,印度、印度尼西亚、土耳其、越南、墨西哥、泰国、伊朗、菲律宾和巴西是受Necurs恶意软件攻击最多的国家。
但是,还是有一种担心,互联网世界可能会有无穷无尽的僵尸。
Necurs 还会卷土重来吗?
事实上,对抗僵尸网络是一场持久战,安全人员也一直在为此努力,但遗憾的是,僵尸网络总会卷土重来。
雷锋。com了解到,2015年10月,包括FBI和NCA在内的国际联合行动摧毁了Necurs僵尸网络,但很快又死灰复燃,随后主要用于传播Locky勒索软件。此后,在安全人员的控制下,Necurs僵尸网络虽然有所“收敛”,但似乎每隔一段时间就会出现新的迭代版本。
2018年4月,研究人员观察到它在功能模块中添加了远程访问木马FlawedAmmyy。Fladammyy是木马通过合法的远程访问工具Ammyy Admin。Fladammyy和远程桌面工具一样,拥有Ammyy Admin的功能,包括远程桌面客户端、文件系统管理、代理支持和音频聊天。Necurs通过C&C命令连接不同的模块,窃取并发回用户的信息。包括与设备相关的信息,如计算机名、用户ID、操作系统信息、安装的杀毒软件信息,甚至恶意软件构建时间、智能卡是否连接等。
2018年5月下旬,研究人员发现了一些Necurs模块,这些模块不仅泄露了电子邮件帐户信息并发送到HXXP://185 [。] 176 [.] 221 [.] 24/l/s。] PHP。如果有人安装并登录到Outlook,Outlook将创建一个目录“% appdata % \ roaming \ Microsoft \ Outlook”,该目录将在文件名中存储带有电子邮件字符串的凭证。接下来,该模块将搜索文件名中包含电子邮件字符串的文件,然后返回这些字符串。
2018年6月,研究人员看到Necurs推出了一个. NET垃圾邮件模块,该模块可以发送电子邮件,并从Internet Explorer、Chrome和Firefox中窃取登录凭据。这个的一些功能部分。NET垃圾邮件模块与一个开源远程访问工具重叠。
现在,我们还不能确定微软的破坏效应和Necurs会不会卷土重来。因此,Leifeng.com建议,你应该非常小心来自不明来源的电子邮件的内容,以及来自不明来源的安装程序,并定期运行杀毒软件,以避免受到僵尸网络的攻击。
参考:https://www . engadget . com/2020-03-10-Microsoft-disruptions-necurs-botnet . html
https://www . geek wire . com/2020/Microsoft-helps-take-control-necurs-productivity-botnet-infected-900万台计算机-全球/
https://the hacker news . com/2020/03/necurs-botnet-take down . html
https://www.anquanke.com/post/id/84043
https://www.leiphone.com/news/201705/MlHdzjjWbstmBZ6T.html
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。
作者:美站资讯,如若转载,请注明出处:https://www.meizw.com/n/211380.html