2016僵尸网络研究报告（下）

十、在Necurs僵尸网络生命的前24小时

Necurs是一个臭名昭著、极端危险的僵尸网络，在全球传播像“wildfire”这样的恶意软件，直到2015年十月份，在一个国际执法部门的努力下，它被下线了。然而，几个月后，这个神秘的僵尸网络又出现了，并开始传播Dridex和Locky恶意软件，在2016年六月份又一次消失了。几周之后，又出现了，并开始传播Locky恶意软件。为了更好的理解Necurs，及它是如何工作的，Cyren的安全专家重现并分析了一个真实的Necurs僵尸网络前24小时的活动。

第一天：

9:46 AM.传送

僵尸恶意软件通过邮件方式到达欧洲的一台计算机，“crashreporter.exe”恶意软件作为邮件的附件，并伪装成“Mozilla基金会”。这个僵尸恶意软件属于Necurs僵尸网络，Cyren将其作为“w32/necurs.c.gen!eldorado”，成功的探测到。

10:03 AM.感染

未加怀疑的受害人打开了邮件和邮件附件。

10:05 AM.环境感知

在启动以后，僵尸程序运行的第一阶段是搜索已知的虚拟环境指标、及调试器、和其它的监控工具，如果发现存在这样的环境或工具，根据僵尸软件的运行流程，它会将自己结束掉。

10:05-10:08 AM.创建一个合适的工作环境

在这个例子中，僵尸程序将自己复制到以下几个位置：

并将自己复制到临时文件夹：

然后，检查机器的语言环境(有些情况下，当检测到某些语言环境时，恶意软件将会主动结束)，比如，Locky勒索软件不会在俄语系统中运行。在这个例子中，该僵尸软件检测到这个机器是英语环境，接下来，它做了以下几件事：

a. 给syshost.exe程序创建一个服务，名称为“syshost32”(对于受害人，这个名称可能不会引起注意)，然后启动服务。

b. 删除之前创建的临时文件。

c. 通过几个命令，绕过计算机的防火墙和白名单。

10:08 AM.连接控制端

僵尸程序开始确定计算机能否联网，通过连接DNS服务器，并访问“Facebook.com”，如果DNS服务器解析了“Facebook.com”域名，僵尸程序为了找到一个响应的C&C服务器，会立即发起域名生成算法(DGA)，并首先尝试以下四个域名：

如果上面四个域名无法连接，接下来，僵尸程序为了连接到C&C服务器，会实施B计划。

10:09-10:19 AM.尝试一个新计划

在检查了正确的时间后，僵尸程序为了找到C&C服务器，开始第二次尝试，首先对“qcmbartuop.bit”中的数据进行57次尝试解析，如果失败，就对“Microsoft.com”进行尝试解析，如果还是失败，就进行C计划。C计划是使用域名生成算法，尝试连接2076个域名。以上所有都失败的话，还会有一个D计划，它会尝试连接一个C&C服务器，IP地址作为硬编码已经被写入到了程序中。在10.12分，从该IP服务器上得到了回应，这个机器正式沦陷了。

10:20 AM.联通

最后，从一个硬编码的IP服务器得到了回应，僵尸主机成功上线，成功连接到了一个位于乌克兰的C&C服务器。僵尸主机将机器的有关信息进行加密，并上传给C&C服务器，然后僵尸主机随时等候下一步的命令。

11:13-4:30 PM.接收任务数据

乌克兰的C&C服务器向僵尸主机发送大量的数据。包括软件的升级、目标地址、及稍后要发送的垃圾邮件的内容。此外，僵尸主机还尝试连接了其它C&C服务器，但都失败了。

10:21-11:14 PM.开始发动垃圾邮件攻击

该僵尸主机根据当天收到的指令，开始发送垃圾邮件。时间似乎是经过选择的，确保在美国的工作时间中。首先，僵尸主机开始寻找能用于发送垃圾邮件的SMTP服务器。起初尝试连接Gmail MX和Yahoo的服务器，但是都被拒绝了。几次尝试之后，成功连接到Yahoo和Hotmail的服务器，然后开始发动垃圾邮件攻击。

在11:14，“live.com”通知僵尸主机：“我们对于每小时和每天发送的消息数量是有限制的”，然后僵尸主机主动停止了当天的攻击。

第二天：

10:47 AM.勒索软件攻击

在晚上已经收到了附加的加密信息，该僵尸主机开始通过发送钓鱼邮件的方式传播Locky勒索软件，邮件包含一个附件，该附件是一个经过压缩的JavaScript下载者。

11:00 AM.完成了一天的工作

在最初的24小时里发生了很多事情,想像一下，在僵尸网络所有僵尸主机的共同努力下，这是一个怎样的效果啊。

经验教训

在前24小时的生命中，该僵尸恶意软件被安装到计算机中，然后找到C&C服务器、自身软件升级、传播垃圾邮件、和Locky勒索软件。包含了三个关键点：

1.僵尸主机尝试了成千上万种不同的选择，非常执着的找到了一个C&C服务器。

2.这个已经有两年的旧恶意软件成功的被一个工作的C&C服务器所管理，C&C服务器迅速对其进行了升级，证明了潜在威胁的弹性。

3.该僵尸程序在相当长的一段时间中是不活跃的，可能由于以下几个原因：(a)等待更长的时间会自动防止沙箱的检测；(b)非活跃状态可以减少被感染计算机的资源使用；或者(c)僵尸程序的垃圾邮件/恶意软件活动是针对一个特殊的目标。

十一、躲在暗处：僵尸网络如何掩盖通信

僵尸网络最大的弱点在于僵尸主机需要和C&C服务器进行通信，因为通过网络流量可以发现它。因此，网络犯罪分子使用各种方法来混淆僵尸网络通信，使它更难检测到僵尸主机的存在。多年以来，网络犯罪分子已经探索和发展了一系列越来越复杂的方法，来确保他们的非法网络能共享关键信息和指令。

基于Tor的僵尸网络：Tor是一个众所周知的匿名通信工具，引导用户的互联网流量通过一个免费的、被设计成跳转数千次的全球网络，用来躲避各种类型的监控或分析，从而隐藏用户的位置和习惯。最近，犯罪份子已经使用Tor来隐藏C&C服务器了，并运行在IRC协议之上。因为Tor是匿名的，用户的身份是隐藏的。在加上，所有的Tor流量都是加密传输的，因此，它能避过入侵检测系统，而且使用Tor网络是合法的。但是Tor网络也有一些缺点，这些缺点也影响到了僵尸网络，包括延迟、减速、和不可靠。

域名生成算法(DGA):因为C&C服务器的域名通常是作为硬编码写入到程序中的，安全方案可以相对容易的找到并阻止它们。为了避免被阻止，一些僵尸网络采用了域名生成算法，可以生成大量域名，从而使安全方案阻止它们变得很难。当然，并不是所有域名都会起作用，僵尸程序通常会遍历这个列表，直到找到一个能正常通联并使用的C&C服务器的域名。就像前面我们讲到过的，Necurs僵尸网络就使用了DGA。

互联网中继聊天(IRC)僵尸网络：IRC协议被第一代僵尸网络采用并用于犯罪目的。在一个IRC僵尸网络中，僵尸主机会作为一个客户端去连接IRC，并自动执行功能。IRC僵尸主机比较容易创建和管理，但安全专家通常有能力识别出这些服务器和僵尸控制者、并关闭僵尸网络。最近，IRC僵尸网络经历了一个小的复苏，得益于某些技术的发展，如使用多个C&C服务器，这使快速关闭IRC僵尸网络的机会变得少了。

加密/复杂协议：不仅仅是对消息进行加密，而且最好使用特殊的僵尸网络协议。就像后面我们要讲到的例子一样，任何通信字符串前都有多个报头和代码，这使得理解僵尸网络数据变得非常难。一些僵尸网络恶意软件，比如Gameover Zeus的木马，传播的恶意软件和C&C的通讯都会被加密。在这个例子中，从被控服务器下载恶意软件时用了SSL进行加密，恶意软件被安装后，僵尸主机和C&C服务器的通信数据也会被加密。

社交网络：为了有效的躲避探测，新的恶意软件使用了社交网络，和基于WEB邮件的C&C通信。安全研究人员已经发现有些恶意软件从tweets和Pinterest的评论中接收C&C的数据。

隐写术：数字隐写技术可以利用一个文件、消息、图片、或视频，来隐藏一个文件、消息、图片、或视频。僵尸主机可以利用这种技术，下载一个看似无害的图片文件，但实际上包含了C&C服务器发送给僵尸主机的复杂的消息流。这个图片中可以存储任何数据。实际上，这种来自于看似正常的网络浏览流量、而且又经过了隐藏的数据，很难被探测到。

将通信隐藏到合法服务中：和社交网络相似，如Dropbox，Pastebin，Imgur和Evernote，都可以隐藏僵尸网络的操作。就Dropbox来讲，C&C服务器的地址可以隐藏到Dropbox帐户的文件中。在Imgur下，通过“Rig exploit kit”工具，受害人可以下载某种形式的勒索软件的数据。勒索软件可以将受害人机器上的文件和收集的信息进行加密，并重新打包成一个.png格式的文件，然后上传到Imgur的相册中，C&C服务器再从相册中取出数据。

全球C&C服务器分布图：

上图显示：位于美国的C&C服务器占到总数的30.09%，其次是荷兰，占到8.85%。

一、Cyren的研究：对C&C通讯的分析

Cyren对Gatak僵尸网络的恶意软件进行了分析研究，发现它使用了一个复杂的加密协议。下图是一个已经解密的僵尸主机发送给C&C的数据包，目的是为了报告僵尸主机的状态：

如上图，位置按16进制表示：

从第0x00开始的16个字节：是shellcode的密钥ID。

从第0x10开始的04个字节：是4字节的CRC校验值。

从第0x14开始的16个字节：是shellcode的16字节随机生成的命令ID。

从第0x24开始的16个字节：是shellcode的16字节随机生成的功能ID。

第0x34字节：消息的字节头。

从第0x35开始的08个字节：消息的8字节会话ID，在首次和C&C服务器通信时会初始化为0。

第0x3D字节：僵尸主机的命令标志(后面会讲到)。

第0x3E字节：成功/错误的标志，0表示成功。

第0x3F字节：信息标志，如果信息长度大于1024字节，设置为1。

从第0x40开始的04个字节：信息的长度。

从第0x44开始：信息本身。

僵尸主机的命令标志信息如下图(上图第0x3D字节)：

下图是一个已经解密的C&C发送给僵尸主机的数据包：

从第0x00开始的04个字节：4字节的CRC校验值。

从第0x04开始的16个字节：16字节的C&C服务器的命令ID。

第0x14字节：消息的字节头。

从第0x15开始的8个字节：消息的8字节会话ID。

第0x1D字节：僵尸主机的命令标志。

二、幽灵域名：规避检测技术

当恶意软件样本被多个反病毒厂商检测到时，C&C服务器的URL就不能再用了，该URL将会被很多WEB安全系统所屏蔽，导致僵尸主机无法解析出URL的地址，无法访问到C&C服务器。显然，这是僵尸控制者面对的重要问题。那么怎么办呢？使用一种技术更改域名，这种技术被Cyren的研究人员称为“幽灵域名”。即在僵尸网络通信的HTTP域名字段中插入未知的域名，包括注册和未注册的，可以欺骗很多WEB安全系统和URL过滤系统。

例如，幽灵域名怎么作为网络犯罪分子规避的方法，Cyren分析师观察恶意软件对www.djapp.info域名进行DNS解析，IP地址是52.1.45.42。

Cyren和其他几个安全厂商将这个域名标记为一个恶意的域名，并将它作为C&C的地址阻止了。结果就是，在受这些厂商保护的网络中，所有对这个域名的HTTP请求都被阻止了。

然而，当其他机器用DNS解析了这个IP地址后，对一个新感染的僵尸主机向C&C发送的数据进行分析，显示出以下的HTTP传输。这是在通知C&C服务器，有一个新的机器成功被感染了。

上图显示，使用了不同的域名来连接52.1.45.42(多个域名指向同一个IP，之前的一个域名已经被屏蔽了)地址。

目的地址是已知的恶意服务器，但是在HTTP请求的域名字段中使用了完全不同的域名–Cyren称为“幽灵域名”。在这个例子中，用于欺骗的幽灵域名是“events.nzlvin.net”和“json.nzlvin.net”，都指向52.1.45.42。

这个技术可以从以下几个方面帮助僵尸网络控制者：

1.WEB安全系统和URL过滤系统不会阻止幽灵域名，因为它们只会阻止原始的被解析的域名(在这个例子中只会阻止www.djapp.info)。

2.当收到这个“编码的”消息(说明主域名被屏蔽，僵尸主机使用了幽灵域名才发出了这个消息)时，僵尸控制者可以操纵服务器发送一个适当的响应。例如，给僵尸主机发送一个响应包，让它下载另一个特殊格式的恶意软件，并执行。

3.通常，安全厂商只会屏蔽C&C的域名，和C&C的URL有关的IP地址不会被屏蔽，因为一个服务器上可能同时存在合法的网站、和有恶意行为的网站，如果将这个IP整个屏蔽，会造成一些合法的服务无法访问到。

在那段时间，Cyren更新了自己的URL信誉数据库，Cyren的分析员检查了是否有安全厂商能检测到“events.nzlvin.net”和“json.nzlvin.net”两个幽灵域名，使用上面提到过的的HTTP请求。多个安全厂商可以将“www.djapp.info”标记为恶意域名，但是没有厂商能标记出幽灵域名。

在接下来的几个小时中，Cyren的沙箱阵列不断积累了关于该恶意IP的数据，在这个过程中，发现了一长列和它有关的幽灵域名。

尽管它们中的有些是注册的域名(创建于恶意软件出现的那几天)，有些没有注册的域名。

三、自卫：探测你网络中的僵尸

俗话说的好，“预防为主,治疗为辅”，这也同样适用于互联网安全。如果将避免感染放在首位，那显然是理想状态，实际很难实现，因为各种规避技术总是能愚弄许多安全系统。

为了找到内部的僵尸主机，最好遵循以下建议—为了探测一个僵尸主机，你应该寻找僵尸主机和C&C服务器的双向通信，有几个警告标志和方法，一个企业可以用这些找到存在的僵尸主机：

检查邮件流量，如果由你的公司发送的邮件被收件公司或ISPs拒绝，这可能预示着从你公司发出的邮件被列入了黑名单，可能是由于你网络中存在僵尸主机，从事了垃圾邮件活动。

利用公司防火墙。这可以检测到那些可疑的端口行为或未知的网络传输。

安装一个入侵防御系统。这类系统具有内置的开放源代码或检测僵尸主机流量的厂商自定义的规则。

使用Web安全/网址过滤系统。这类系统，如Cyren的WebSecurity,能阻止僵尸主机和C&C的通信，并帮助管理员识别出僵尸主机的位置，从而清除它。

考虑在你的网络上创建一个“暗网”。通过在你的局域网中创建一个子网，并记录访问这个子网的所有日志，通常不应该有流量被路由到它里面。你可以看一看有哪些计算机不听从你正常的网络设置；例如，这些计算机可能正在扫描他们打算感染的网络上的节点。

使用厂商专门检测僵尸主机的安全解决方案。有厂商专门从事僵尸主机的检测，并依靠行为分析，使用日志分析和流量分析相结合的方法。

一旦检测到异常的流量，下一步做的就是追查源头。网络安全解决方案提供了最大的可能来发现谁损害了你的网络。首选方案应该可以给用户提供简化识别过程的办法，特别是当用户在网络地址转换（NAT）设备之后。

四、Cyren Globalview威胁趋势|2016年第3季度

“Cyren Globalview”季度安全指数已经发布，包括网络威胁的主要类型和全球趋势指标。这些指标是根据“Cyren Globalview”云安全数据生成的，它处理了超过6亿用户的WEB和邮件事件。

根据Cyren云安全的监控，第三季度和第二季度的数据相比，钓鱼URL增长了22%，第三季度新增的钓鱼网站大约有1百万个。而WEB恶意软件的URL数量下降了10%，检测到的特殊恶意软件样本的总数增长了20%，特殊安卓手机恶意样本增长了32%，本季度平均每日邮件恶意软件的数量增长了59%，主要是由于Locky勒索软件在第三季度每周有5天都在持续活跃中。

具体数据如下图所示：

上图显示的是钓鱼威胁指数：在第三季度增长了22%。

上图显示的是WEB恶意软件的URLs威胁指数：在第三季度减少了10%。

上图显示的是垃圾邮件威胁指数：在第三季度增长了2%。

上图显示的是恶意软件威胁指数：在第三季度增长了20%。

上图显示的是Android恶意软件威胁指数：在第三季度增长了32%。

上图显示的是邮件恶意软件威胁指数：在第三季度增长了59%。