惡意軟件家族日新月異,尤其有些惡意軟件的更新相當(dāng)引人關(guān)注。Necurs一直未停止發(fā)展更新的步伐。賽門鐵克公司公司表示,Necurs剛剛經(jīng)歷了“令人關(guān)注”的更新。
NecursNecurs不止是一款惡意軟件的名稱,同時也是這款惡意軟件通過被感染電腦構(gòu)建的僵尸網(wǎng)絡(luò)。
在安全研究行業(yè)者看來,Necurs惡意軟件是一款“下載器”或“加載器”,僅包含三大主要功能:
在被感染電腦上獲得Boot持久性。
收集被感染主機的遙測數(shù)據(jù)。
下載并安裝第二階段的Payload。
Necurs惡意軟件通過Necurs肉雞或被黑網(wǎng)絡(luò)服務(wù)器發(fā)送的垃圾郵件進行傳播。
Locky勒索軟件的主要傳播途徑為Necurs僵尸網(wǎng)絡(luò),其實際操作是:Necurs僵尸網(wǎng)絡(luò)傳播Necurs下載器,下載器隨后安裝Locky勒索軟件。
Necurs下載器新增兩大功能Necurs下載器通常被人忽略,因為它屬于小工具,顯得無關(guān)緊要。然而,賽門鐵克的研究人員最近發(fā)現(xiàn)Necurs新增兩大主要功能。
第一,新增Powershell腳本,可對被感染設(shè)備進行截屏,并將截圖上傳至遠(yuǎn)程服務(wù)器。
第二項功能是內(nèi)置錯誤報告功能,負(fù)責(zé)監(jiān)控Necurs下載器的錯誤,記錄問題,并將信息返回給Necurs操作人員。
其它惡意軟件家族也包含此類功能,但研究人員從未在下載器中見過這些功能。
威脅攻擊者正搜尋有價值的主機賽門鐵克表示,新增截圖功能可能說明Necurs操作人員正在搜尋感染設(shè)備的更多線索,此外,操作員還會在感染設(shè)備后收集遙測數(shù)據(jù)——當(dāng)攻擊者感染更具價值的環(huán)境時(例如運行專業(yè)辦公軟件的環(huán)境),這些信息會大有裨益。
開發(fā)者新增錯誤報告功能意在收集數(shù)據(jù)改進應(yīng)用,畢竟不能指望受害者報告錯誤和問題。
賽門鐵克還提供了Necurs近幾年的垃圾郵件圖。據(jù)報道,Necurs僵尸網(wǎng)絡(luò)目前正忙著傳播Locky勒索軟件和TrickBot銀行木馬。