卡巴斯基实验室《2017年Q2垃圾邮件与 络钓鱼分析 告》

米雪儿 2017-09-07 from：http://www.freebuf.com/articles/network/146587.html

垃圾邮件：季度亮点

交付服务木马

2017年第二季度，我们发现了一大波恶意钓鱼邮件，这些邮件都将自身伪造成来自知名交付服务公司的通知。攻击者将木马下载程序放置在ZIP存档中发送给受害者，并在启动后下载其他恶意软件——Backdoor.Win32.Androm和Trojan.Win32.Kovter。攻击者通常将恶意内容伪装成重要的交付信息进行传播，诱骗受害者开启附件。这些恶意邮件还针对不同国家的人员，使用了不同的语言和主题实施诱骗活动。

WannaCry与垃圾邮件

2017年5月，世界各地数十万台计算机被WannaCry 勒索软件感染。虽然大多数类似的勒索软件样本在感染计算机之前需要某种用户输入，但是WannaCry可以在没有任何用户操作的情况下执行此类活动。它使用Windows漏洞对目标实施攻击，随后感染本地 络中的所有计算机设备。像其他勒索软件一样，WannaCry会加密受害者设备上的文件，并索要赎金进行解密。在这种攻击中，文件的扩展名被加密为.wcry，变得不可读。

事件发生后，高调的垃圾邮件攻击者开始伪装成知名软件提供商向受害者发送虚假通知，通知收件人他们的设备已经被勒索软件感染，建议其进行更新。而邮件中的更新链接实为一个 络钓鱼页面。

这些文档包含一个属于Pony/FareIT家族的恶意程序，该恶意程序是微软公司于2011年首次发现的，是目前用于窃取密码的顶级恶意软件家族之一。它可以从100多个应用程序中获取登录凭证和密码信息，包括电子邮件、FTP、即时消息、VPN、Web浏览器等等。

该文档中包含属于Loki Bot家族的恶意程序，旨在从FTP、邮件客户端以及存储密码的浏览器和加密货币钱包中窃取密码。

【2017年Q1-Q2卡巴斯基实验室计算机用户的电子邮件防病毒检测数量】

Necurs僵尸 络仍在持续分发垃圾邮件

Necurs僵尸 络分发垃圾邮件的情况仍在持续，只是数量上比2016年呈现明显减少趋势。目前，除了分发恶意邮件外，该僵尸 络还积极扩展“哄抬股价”（pump-and-dump）以及约会等方面的垃圾邮件：

通过合法服务传播垃圾邮件

为了绕过过滤器检测，垃圾邮件发送者通常会使用合法手段传播广告以及欺诈性信息。这种类型的垃圾邮件更难以检测，因为信息源是合法的。垃圾邮件发送者也喜欢使用这种手段，因为这种资源非常容易锁定目标，例如，他们可以利用求职 站进行财务欺诈行为：

如果该脚本在受害者的站点上启动，攻击者就能够获得对站点的控制权并运行任意代码。此外，该脚本还可以收集其注册和运行的站点上输入的所有用户数据。事实上，这些伪造邮件大多数被发送到了属于银行的邮箱地址中，这意味着，攻击者可以收集这些银行 站上输入的用户数据，包括用于 上银行的登录凭证和密码等信息。

统计数据

电子邮件流量中垃圾邮件的比例

垃圾邮件规模

【2017年Q2 TOP 10恶意软件家族】

Trojan-Downloader.JS.SLoad（8.73%）位列最流行的恶意软件家族榜首；Trojan-Downloader.JS.Agent（3.31%）位列第二，而Trojan-PSW.Win32.Fareit（3.29％）排名第三。

Trojan-Downloader.JS.Agent（3.05％）排名第四，其次是Worm.Win32.WBVB（2.59％）。

前10名中新上榜的包括Backdoor.Java.QRat（1.91％）和Trojan.PDF.Phish（1.66％），分别占据了第七和第九名。

Backdoor.Java.QRat家族是一个跨平台的多功能后门，用Java编写，在暗 上以恶意软件即服务（MaaS）的形式销售；Trojan.PDF.Phish是一个PDF文档，其中包含指向钓鱼 站的链接，旨在窃取用户的登录凭证和密码等信息。

恶意邮件的目标国家

【2017年Q2钓鱼攻击的地理分布】

2017年第二季度，巴西（18.09％）是受到 络钓鱼攻击影响最大的国家，尽管其份额比上季度下降 1.07 个百分点；遭受攻击的中国用户下降了7.24 %（达 12.85％），目前居全球第二；澳大利亚（12.69%）比上季度上升1.96%，位居第三；接下来是新西兰（12.06%，上升0.12%）、阿塞拜疆（11.48%）、南非（9.38%）、阿根廷（9.35%）、英国（9.29%）。

在第二季度中，俄罗斯以8.74%的占比退出了“Top10受 络钓鱼攻击影响最深的国家”之列，排在第18位。

遭遇攻击的组织机构

结论

在2017年第二季度，垃圾邮件的最大份额为57.99％（出现在4月份）。第二季度全球电子邮件流量中垃圾邮件的平均份额为56.97%，相比上一季度增长了 1.07 %。

卡巴斯基反钓鱼系统于 2017 年第二季度成功阻止全球用户超过 4650 万次的 络钓鱼页面访问。总体而言，目前全球有 8.26% 的目标用户受到钓鱼者攻击。值得注意的是，在早期攻击活动中，钓鱼者依靠用户的粗心与低水平技术窃取敏感数据。然而，随着用户变得越来越精通 络，钓鱼者不得不提出新的技巧，以引诱用户访问钓鱼 站，例如将 络钓鱼页面放在知名组织拥有的域名上。

对此，卡巴斯基研究人员提醒用户：不要轻易点击非官方域名或打开未知名电子邮件，关闭 络文件共享功能，并确保用户安装全方位杀毒软件，以避免遭受 络钓鱼攻击。

Linux木马使用被黑物联 设备发送垃圾邮件

研究人员表示，攻击者会大规模发送以推荐股票为主题的垃圾邮件来激发目标用户的兴趣。攻击者所使用的这类垃圾邮件模式被研究人员成为“pump-and-dump”，这个词在金融界代表“拉高出货”或者“坐庄”。也就是说，垃圾邮件发送者会在股价较低的时候购买股票，然后当垃圾邮件活动（以推荐股票为主题）将股价抬升上去之后，他们再以高价卖出并赚取差价，这就是所谓的“pump-and-dump”。

Necurs开始推送加密货币

研究人员认为，Necurs这种垃圾邮件僵尸 络很可能是由数百万台僵尸主机所构成的，而且这个僵尸 络这些年以来一直都在进行“pump-and-dump”活动，这也是Necurs的主业。不过除此之外，Necurs还会传播Dridex银行木马以及其他几款勒索软件，但这都是副业了。

不过就在这周开始，有些研究人员发现Necurs竟然一改之前推销廉价股票的风格，并开始推广加密货币了。而且据了解，这也是Necurs第一次通过自己这个臭名招出的大型垃圾邮件 络来推广加密货币。

Necurs与Swisscoin

根据之前的 告，Swisscoin这种加密货币被认为是旁氏骗局，而且最近曾被暂停交易过。但是在2018年1月15日，这种加密货币又恢复了正常交易，而这一天也是Necurs垃圾邮件活动（以Swisscoin为主题）开始的那一天。更重要的是，从垃圾邮件活动开始之后，Swisscoin的价格相较于初始交易价格已经缩水了40%。

目前，研究人员还不清楚Necurs会对Swisscoin交易价格产生怎样的影响，而且之前也没有类似的恶意活动可以进行比较。除此之外，比特币的价格下跌很有可能也会影响Swisscoin的价格。

Necurs 是全球最大的垃圾邮件僵尸 络，由数百万受感染的计算机组成，曾用于扩散 Locky、GlobeImposter Trickbot 等多个恶意软件。近期，Necurs 再次引起了研究人员的关注，因为其背后的操纵者使用了一种新的技术躲避检测。他们向潜在受害者发送的邮件中包含一个文件夹，一旦解压，就会出现一个扩展名为 .URL 的文件。

这个文件利用 Windows 快捷方式功能，一打开就指向浏览器，并执行最终的恶意 payload。在最终执行阶段，Necurs 会向受害者计算机发送装载软件，下载其他恶意软件进而彻底感染受害者计算机。

 

美国干扰大型僵尸 络，阻止其发送垃圾邮件、安装勒索软件

美国司法部门锁定僵尸 络Kelihos，怀疑其为发送垃圾邮件、安装勒索软件、恶意软件的罪魁祸首。

 

美国当局现已锁定Kelihos僵尸 络。

 

 

美国当局日前主动出击，打击世界上最大的僵尸 络之一—Kelihos。这一僵尸 络在全球范围内控制了成千上万被感染的计算机，向他们发送了数百万封垃圾邮件，邮件携带勒索软件和恶意软件。

美国司法部门联手联邦调查局（FBI）、 络安全公司Crowdstrike，开始拦截与Kelihos僵尸 络相关的域名。Kelihos是世界上最高产的 络之一，是一种由黑客控制的计算机系统。

据悉，被感染的Windows计算机 络会发送垃圾邮件，植入勒索软件、恶意软件，获取用户名和密码，窃取比特币，兜售信息。

这一 络甚至使用对等 路，允许个人节点以私人指挥控制服务器运行。我们认为，其恶意活动影响了全球5%的组织机构。

为了获得支持，尽快干扰、根除僵尸 络，美国当局从阿拉斯加得到法院指令，批准其将被Kelihos感染的计算机中的流量重新定向，发送到联邦调查局运行的代理服务器上，并记录电脑试图连接的IP地址。

如此，当局可以确定“受害者”身份，帮助他们卸载电脑中的恶意软件，同时拦截恶意企图，避免感染其他电脑。除此之外，美国政府联手杀毒软件供应商及IT安全公司，提供最新补丁，抵御Kelihos感染，删除恶意文件。

 “我们成功清除Kelihos僵尸 络，归功于与私营企业专家及执法机关的通力合作，此外，新颖、合法的技术战术也功不可没，”Kenneth A Blanco如是说。他系美国司法部门刑事法庭首席检察官代理助理。

 “司法部门全力出击，打击 络犯罪，无论犯罪规模大小、复杂程度高低，我们绝不姑息，我们将严惩牵涉其中的犯罪分子。”

司法部门表示，自2010年以来，俄罗斯公民Peter Yuryevich Levashov一直在运营僵尸 络。据悉，他通过获取证书，窃取了大量信息。随后，他在各大在线犯罪论坛上发布广告，将信息兜售出去。本周早前，他在西班牙被抓获。

 “这一案件说明联邦调查局志在必得。不论 络威胁存在何处，都誓要找出并消除它们，”FBI主管特工Marlin Ritzman如是说。

然而，尽管Kelihos是最高产的僵尸 络之一，但也只是感染百万系统的僵尸 络之一。其他僵尸 络譬如The Necurs botnet，在秘密沉寂一段时间后，又卷土重来。安全专家警告我们，随着物联 设备日新月异，其中很多都存在大量漏洞，极易被人远程操纵。因此，日后的僵尸 络攻击只会愈演愈烈。

十大垃圾邮件的僵尸 络

 

　　6: Mega-D (Ozdok)

　　Mega-D 是否是一个有名的僵尸 络，这取决于你的观点。在2009年11月，FireEye 的研究人员本可以通过注销该僵尸 络命令和控制服务器域名的方式关停这个 络。但是由于Mega-D 软件有一定的智能性，不断的重新生成新的域名，最终使得开发者重新控制了这个 络。

　　而新的技术肯定是有效的，因为Maazben的扩张速度惊人，其规模每月增长5%，在前十大僵尸 络中属于增长最快的僵尸 络。目前Maazben 拥有约30万台僵尸电脑，每天发送关于赌博的垃圾邮件25亿封。

　　8: Xarvester (Rlsloup/Pixoliz)

　　Xarvester 是在 McColo关停后浮现在人们视野里的。研究者认为Xarvester僵尸 络是从关停的前辈那里继承了不少僵尸电脑。研究人员还发现了 Xarvester和另一个僵尸 络Srizbi (McColo数据中心关停后受到影响的一个僵尸 络)之间的很多类似之处。

　　Donbot 拥有10万台僵尸电脑，每天发送的垃圾邮件量为8亿封。邮件的内容多样，从减肥药到股票债券等都有。

　　10: Gheg (Tofsee/Mondera)

　　第十大僵尸 络拥有三个明显的特点。首先，该僵尸 络发送的垃圾邮件按中，大约85%的垃圾邮件源自韩国。其次，Gheg 是为数不多的从命令和控制服务器到终端电脑间通过443端口采用非标准SSL连接和加密数据传输的僵尸 络。

三周以前 Mega-D 的僵尸 络还是世界最大的垃圾邮件源，后来，Mega-D背后的恶意程序 Ozdok 被确认，立刻，Mega-D的控制服务器消失了大约10天，在那期间，来自这个僵尸 络的垃圾信息几乎归于零。

从那以后， Marshal 凭借他们的垃圾邮件陷阱探测到更多垃圾邮件发送者使用的恶意程序，目前，垃圾邮件源的最新分布图如下。

Grum是全球第三大垃圾邮件 络。Grum每天产生大约180亿封垃圾邮件，约占全球垃圾邮件的18%。在2012年7月7日在巴拿马和荷兰的僵尸服务器被攻破，，但Grum藏身于乌克兰和俄罗斯境内的7台新服务器数小时以后便又活跃起来。安全专家通过追踪Grum的活动找到了这些新服务器的地址，最终与当地ISP(互联 服务提供商)合作，将它们全部关闭。

日前，spiderlabs发布博文称，2012年7月7日仅仅是暂时性的关闭了Grum服务器，Grum又起死回生了，如下图：

 

spiderlabs实验室发现垃圾邮件中很多链接是链到非法药品经营类 站，并且列出了一个详细 站名单，点击这里查看。并且表示，Grum非常根深蒂固，2012年7月7日也许仅仅是一个开始。

相关资源：iZotope Ozone VST (臭氧) V4.0.3.274 绿色汉化版.zip-制造工具类…