惡意軟件Necurs新增截屏+報告錯誤功能

責(zé)任編輯:editor004

2017-10-20 11:34:31

摘自:E安全

惡意軟件家族日新月異,尤其有些惡意軟件的更新相當(dāng)引人關(guān)注。在安全研究行業(yè)者看來,Necurs惡意軟件是一款“下載器”或“加載器”

惡意軟件家族日新月異,尤其有些惡意軟件的更新相當(dāng)引人關(guān)注。Necurs一直未停止發(fā)展更新的步伐。賽門鐵克公司公司表示,Necurs剛剛經(jīng)歷了“令人關(guān)注”的更新。

Necurs惡意軟件新增截屏+報告錯誤功能-E安全

Necurs

Necurs不止是一款惡意軟件的名稱,同時也是這款惡意軟件通過被感染電腦構(gòu)建的僵尸網(wǎng)絡(luò)。

在安全研究行業(yè)者看來,Necurs惡意軟件是一款“下載器”或“加載器”,僅包含三大主要功能:

在被感染電腦上獲得Boot持久性。

收集被感染主機的遙測數(shù)據(jù)。

下載并安裝第二階段的Payload。

Necurs惡意軟件通過Necurs肉雞或被黑網(wǎng)絡(luò)服務(wù)器發(fā)送的垃圾郵件進行傳播。

Locky勒索軟件的主要傳播途徑為Necurs僵尸網(wǎng)絡(luò),其實際操作是:Necurs僵尸網(wǎng)絡(luò)傳播Necurs下載器,下載器隨后安裝Locky勒索軟件。

Necurs下載器新增兩大功能

Necurs下載器通常被人忽略,因為它屬于小工具,顯得無關(guān)緊要。然而,賽門鐵克的研究人員最近發(fā)現(xiàn)Necurs新增兩大主要功能。

第一,新增Powershell腳本,可對被感染設(shè)備進行截屏,并將截圖上傳至遠(yuǎn)程服務(wù)器。

第二項功能是內(nèi)置錯誤報告功能,負(fù)責(zé)監(jiān)控Necurs下載器的錯誤,記錄問題,并將信息返回給Necurs操作人員。

其它惡意軟件家族也包含此類功能,但研究人員從未在下載器中見過這些功能。

威脅攻擊者正搜尋有價值的主機

賽門鐵克表示,新增截圖功能可能說明Necurs操作人員正在搜尋感染設(shè)備的更多線索,此外,操作員還會在感染設(shè)備后收集遙測數(shù)據(jù)——當(dāng)攻擊者感染更具價值的環(huán)境時(例如運行專業(yè)辦公軟件的環(huán)境),這些信息會大有裨益。

Necurs惡意軟件新增截屏+報告錯誤功能-E安全

開發(fā)者新增錯誤報告功能意在收集數(shù)據(jù)改進應(yīng)用,畢竟不能指望受害者報告錯誤和問題。

賽門鐵克還提供了Necurs近幾年的垃圾郵件圖。據(jù)報道,Necurs僵尸網(wǎng)絡(luò)目前正忙著傳播Locky勒索軟件和TrickBot銀行木馬。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號