天创培训:您身边的信息安全培训专家!
行业动态
挑战升级:Necurs僵尸网络使用Web查询文件IQY逃避安全检测

挑战升级:Necurs僵尸网络使用Web查询文件IQY逃避安全检测

Necurs 是全球最大的垃圾邮件僵尸网络,由数百万受感染的计算机组成,曾用于扩散 Locky、GlobeImposter Trickbot 等多个恶意软件。4月研究人员发现Necurs的操纵者使用新技术规避检测——向受害者发送含有压缩包的邮件,解压后出现扩展名为 .URL 的文件,这些文件将利用服务器消息块(SMB)协议从远程服务器执行有效负载,从而成功地避开某些垃圾邮件过滤器。“道高一尺,魔高一丈”,最近趋势科技发现Necurs的作者在被发现后对规避方法似乎进行了升级。

这一次,来自僵尸网络的新一轮垃圾邮件使用Web查询文件IQY来逃避检测。具有特定格式的文本文件IQY文件允许用户从外部源导入数据到Excel电子表格中,并且Windows会在Excel中自动执行它们。

挑战升级:Necurs僵尸网络使用Web查询文件IQY逃避安全检测

图1.有IQY附件的电子邮件

趋势科技披露,Necurs使用IQY文件附件的垃圾邮件的主题和文件名包含与促销、优惠和折扣等相关词汇。一旦执行,IQY文件将查询其代码中指示的URL,这会导致数据从目标网址被拉到Excel工作表中。而获取的数据包含滥用Excel动态数据交换(DDE)功能的脚本,以执行命令行并启动PowerShell进程。通过此过程,远程PowerShell脚本在目标系统上无文件地执行。该脚本旨在下载可执行文件,特洛伊木马远程访问应用程序及其最终有效载荷:FlawedAMMYY后门程序。该恶意软件应该是使用Ammyy Admin远程访问特洛伊木马的泄漏代码构建的。作为最近的攻击的一部分,脚本会在最终的有效载荷之前下载一个图像文件。安全研究人员说,这张图片是一个伪装的恶意软件下载程序,用于获取包含相同主要后门例程的加密组件文件。

挑战升级:Necurs僵尸网络使用Web查询文件IQY逃避安全检测

图2.以附件IQY文件开始的感染链

FlawedAMMYY设计用于执行远程恶意服务器的一系列命令,包括文件管理器,视图屏幕,远程控制,音频聊天,RDP SessionsService  -安装/启动/停止/删除禁用桌面背景,禁用桌面组合,禁用视觉效果以及显示工具提示鼠标光标闪烁的原因。

在Necurs中添加这一新的规避层将带来新的挑战,因为web查询通常以明文文件的形式出现,这使得所附的IQY文件的URL成为恶意软件活动的唯一指示。此外,它的结构与普通的Web查询相同。因此,一种可以阻止恶意url的安全解决方案才可以抵御这种威胁。

为了抵御这些威胁,严格的安全协议和最佳实践至关重要。此外,由于这是已知的攻击媒介,用户在执行IQY文件附件时会收到两条警告消息,如果注意这些警告则可以阻止感染。