搞安全的童鞋可能對(duì) Necurs 僵尸網(wǎng)絡(luò)并不陌生，很可能還想用盡畢生所學(xué)“摧毀”它。

最近，這個(gè)愿望似乎已經(jīng)被微軟實(shí)現(xiàn)了。雷鋒網(wǎng) 3 月 11 日消息，微軟昨天宣布他們成功摧毀了 Necurs 僵尸網(wǎng)絡(luò)，該僵尸網(wǎng)絡(luò)已感染了全球超過(guò) 900 萬(wàn)臺(tái)計(jì)算機(jī)，兩個(gè)月內(nèi)產(chǎn)生了 380 萬(wàn)封垃圾郵件，并劫持了其大部分基礎(chǔ)設(shè)施。

微軟成功搗毀 Necurs 僵尸網(wǎng)絡(luò)

據(jù)外媒報(bào)道，此次微軟能夠破獲 Necurs 僵尸網(wǎng)絡(luò)得益于 35 個(gè)國(guó)家/地區(qū)的國(guó)際警察和私人科技公司協(xié)調(diào)行動(dòng)的結(jié)果。

微軟表示，為了搗毀 Necurs ，他們破解了該僵尸網(wǎng)絡(luò)通過(guò)算法生成新域的技術(shù)——DGA 。

DGA ( Domain Generate Algorithm 域名生成算法)是一種使用時(shí)間，字典，硬編碼的常量利用一定的算法生成的域名。DGA 生成的域名具有為隨機(jī)性，用于中心結(jié)構(gòu)的僵尸網(wǎng)絡(luò)中與 C&C 服務(wù)器的連接，以逃避域名黑名單檢測(cè)的技術(shù)。

攻擊者可通過(guò)運(yùn)行算法生成 DGA 域名，然后隨機(jī)選擇其中的少量域名進(jìn)行注冊(cè)，并將域名綁定到 C&C服務(wù)器。受害者的機(jī)器被植入惡意程序后運(yùn)行 DGA 算法生成域名，并檢測(cè)域名是否可以連接，如果不能連接就嘗試下一個(gè)域名，如果可以連接就選取該域名作為該惡意程序的控制端服務(wù)器域名，而這一切到了僵尸網(wǎng)絡(luò)手里，你的電腦就會(huì)癱瘓，后果不可謂不嚴(yán)重。

所以，為了更徹底的摧毀 Necurs 僵尸網(wǎng)絡(luò)，微軟聯(lián)合 35 個(gè)國(guó)家破解了這一算法，并成功預(yù)測(cè)了未來(lái) 25 個(gè)月內(nèi)該網(wǎng)絡(luò)可能創(chuàng)建的 600 萬(wàn)個(gè)域，通報(bào)給全球各地的域名管理機(jī)構(gòu)，預(yù)防將來(lái)遭到攻擊。此外，在法院命令的幫助下，微軟還接管了 Necurs 在美國(guó)的現(xiàn)有域，獲得了對(duì)美國(guó)基礎(chǔ)設(shè)施的控制，這些基礎(chǔ)設(shè)施用于分發(fā)惡意軟件和感染受害計(jì)算機(jī)。

微軟表示：“通過(guò)控制現(xiàn)有網(wǎng)站并抑制注冊(cè)新網(wǎng)站的能力，我們已經(jīng)大大‘破壞’了僵尸網(wǎng)絡(luò)。”

值得一提的是，這一行動(dòng)微軟策劃了八年。

全球最大的僵尸網(wǎng)絡(luò)之一：Necurs 僵尸網(wǎng)絡(luò)

在談 Necurs 僵尸網(wǎng)絡(luò)之前，雷鋒網(wǎng)先帶大家了解下僵尸網(wǎng)絡(luò)。

簡(jiǎn)單的說(shuō)，僵尸網(wǎng)絡(luò)指的是那些利用惡意代碼控制互聯(lián)網(wǎng)上的設(shè)備，讓他們像僵尸一樣失去了原本的“意識(shí)”，這些僵尸網(wǎng)絡(luò)在 C2 端（也就是控制者）的命令下統(tǒng)一行動(dòng)，就組成了僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)的一個(gè)重要作用就是進(jìn)行 DDoS 攻擊，也就是發(fā)動(dòng)這些硬件對(duì)特定服務(wù)器同時(shí)發(fā)起訪問(wèn)，造成對(duì)方網(wǎng)絡(luò)癱瘓，無(wú)法正常運(yùn)行。

而在僵尸網(wǎng)絡(luò)的世界里，還盛行著一條“弱肉強(qiáng)食”的法則，誰(shuí)手上控制的壯丁最多，誰(shuí)就擁有最強(qiáng)大的“部隊(duì)”，可以在網(wǎng)絡(luò)世界里肆意殺伐，攻城略地。

一般操作是，惡意僵尸程序在全網(wǎng)進(jìn)行掃描，一旦發(fā)現(xiàn)有漏洞的設(shè)備（電腦、硬件等等），就馬上入侵控制，把它納入僵尸大軍麾下，再以新的僵尸設(shè)備為跳板，繼續(xù)感染其他設(shè)備。這像極了僵尸片中病毒的指數(shù)級(jí)擴(kuò)散模式。

這些僵尸大軍，少則有幾千臺(tái)設(shè)備，多則達(dá)到數(shù)百萬(wàn)臺(tái)設(shè)備，這也就很容易理解為什么安全公司總在想辦法摧毀他們了。

再來(lái)看下微軟此次摧毀的 Necurs 僵尸網(wǎng)絡(luò)。

Necurs 僵尸網(wǎng)絡(luò)于 2012 年首次被發(fā)現(xiàn)，它由幾百萬(wàn)臺(tái)受感染的設(shè)備組成，一直致力于分發(fā)銀行惡意軟件、加密劫持惡意軟件、勒索軟件以及每次運(yùn)行時(shí)發(fā)送給數(shù)百萬(wàn)收件人的各種電子郵件進(jìn)行詐騙。在過(guò)去 八年里，Necurs 僵尸網(wǎng)絡(luò)已經(jīng)發(fā)展成為全球最大的垃圾郵件傳播組織。

然而，Necurs 并不僅僅是一個(gè)垃圾郵件程序，它是一個(gè)模塊化的惡意軟件，包含了一個(gè)主僵尸網(wǎng)絡(luò)模塊、一個(gè)用戶(hù)級(jí) Rootkit ，并且可以動(dòng)態(tài)加載其它模塊。

2017 年，Necurs 開(kāi)始活躍起來(lái)，其在傳播 Dridex 和 Locky 勒索軟件時(shí)被注意到，每小時(shí)可向全球計(jì)算機(jī)發(fā)送 500 萬(wàn)封電子郵件。

【 圖片來(lái)源：freebuf  所有者：freebuf 】

研究人員在昨日發(fā)布的另一份報(bào)告中說(shuō)：“從 2016 年到 2019 年，Necurs 是犯罪分子發(fā)送垃圾郵件和惡意軟件的最主要方法，利用電子郵件在全球傳播惡意軟件的 90％ 都使用了這種方法?！?/p>

微軟說(shuō)：“在 58 天的調(diào)查中，我們觀察到一臺(tái)感染 Necurs 的計(jì)算機(jī)發(fā)送了總共 380 萬(wàn)封垃圾郵件，潛在的受害者多達(dá) 4060 萬(wàn)?！?/p>

根據(jù)研究人員發(fā)布的最新統(tǒng)計(jì)數(shù)據(jù)，印度、印度尼西亞、土耳其、越南、墨西哥、泰國(guó)、伊朗、菲律賓和巴西是受到 Necurs 惡意軟件攻擊最多的國(guó)家。

不過(guò)，現(xiàn)在還有一點(diǎn)擔(dān)心是，互聯(lián)網(wǎng)世界里的僵尸有可能是打不盡的。

Necurs 還會(huì)卷土重來(lái)嗎？

事實(shí)上，打擊僵尸網(wǎng)絡(luò)這件事是個(gè)持久戰(zhàn)，安全人員也一直在為此做努力，但無(wú)奈的是，僵尸網(wǎng)絡(luò)總是會(huì)再次卷土重來(lái)。

雷鋒網(wǎng)了解到， 2015 年 10 月,一次包含 FBI 和 NCA 在內(nèi)的國(guó)際聯(lián)合行動(dòng)摧毀了 Necurs 僵尸網(wǎng)絡(luò),但是很快它又復(fù)活了,之后就主要用于傳播 Locky 勒索軟件。此后，在安全人員的控制下，Necurs 僵尸網(wǎng)絡(luò)  雖然有所“收斂”，但每隔一段時(shí)間似乎都有新的迭代版本出現(xiàn)。

2018 年 4 月，研究人員觀察到它將遠(yuǎn)程訪問(wèn)木馬 FlawedAmmyy 加入其功能模塊中。FlawedAmmyy是通過(guò)合法的遠(yuǎn)程訪問(wèn)工具 Ammyy Admin 進(jìn)行木馬化的，與遠(yuǎn)程桌面工具一樣，F(xiàn)lawedAmmyy 具有Ammyy Admin 的功能，包括遠(yuǎn)程桌面控制，文件系統(tǒng)管理，代理支持和音頻聊天功能，Necurs 通過(guò)C＆C 命令加入不同的模塊，竊取并發(fā)回用戶(hù)的信息，其中包括與設(shè)備相關(guān)的信息，比如計(jì)算機(jī)名稱(chēng)、用戶(hù) ID、操作系統(tǒng)信息、所安裝的殺毒軟件信息甚至惡意軟件構(gòu)建時(shí)間、智能卡是否連接等。

2018 年 5 月下旬，研究人員發(fā)現(xiàn)了一些 Necurs 模塊，這些模塊不但泄露了電子郵件帳戶(hù)信息并將它們發(fā)送到 hxxp://185[.]176[.]221[.]24/l/s[.]php 。如果有人安裝并登錄到 Outlook，Outlook 就會(huì)創(chuàng)建一個(gè)目錄 “ %AppData%\Roaming\Microsoft\Outlook\ ”，該目錄將會(huì)存儲(chǔ)文件名中帶有電子郵件字符串的憑證。接著，該模塊將在文件名中搜索帶有電子郵件字符串的文件，然后將這些字符串返回。

2018 年 6月，研究人員看到 Necurs 推出一個(gè) .NET 垃圾郵件模塊，該模塊能夠發(fā)送電子郵件并竊取來(lái)自 Internet Explorer，Chrome 和 Firefox 的登錄憑據(jù)，此 .NET 垃圾郵件模塊的某些功能部分與其中一個(gè)開(kāi)源遠(yuǎn)程訪問(wèn)工具重疊。

而現(xiàn)在我們尚無(wú)法確定微軟此次的破壞成效，Necurs 是否還會(huì)卷土重來(lái)，所以，雷鋒網(wǎng)建議大家為避免被僵尸網(wǎng)絡(luò)攻擊，對(duì)于不明來(lái)源的電子郵件內(nèi)容要非常小心，同樣對(duì)于不確定來(lái)源的安裝程序也要謹(jǐn)慎，要定期運(yùn)行殺毒軟件。

參考資料：https://www.engadget.com/2020-03-10-microsoft-disrupts-necurs-botnet.html

https://www.geekwire.com/2020/microsoft-helps-take-control-necurs-prolific-botnet-infected-9m-computers-worldwide/

https://thehackernews.com/2020/03/necurs-botnet-takedown.html

https://www.anquanke.com/post/id/84043

http://www.ozgbdpf.cn/news/201705/MlHdzjjWbstmBZ6T.html

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。