反垃圾邮件效果不好？可能是Netsky蠕虫在搞事

显示全部楼层 · 发表于 2018-3-30 16:45

本帖最后由 SSEC 于 2018-3-30 16:48 编辑

近期，某公司EDR安全团队接到某企业用户反馈，称其内网邮件服务器已部署了反垃圾邮件功能，但仍然能收到大量的垃圾邮件、钓鱼邮件、附件带病毒的邮件，严重影响其办公体验。

我们深入研究发现，这是Email蠕虫病毒Netsky导致的邮件风暴，该病毒主要借助邮件不断复制自身进行网络传播。在企业办公环境内，中毒主机可直接发恶意邮件，绕开内网邮件服务器反垃圾邮件功能，传播相当迅猛。

传统的单机杀毒功能或独立的反垃圾邮件功能，并无法彻底根除此顽疾。

0x01 攻击场景

该病毒主要借助邮件进行网络传播，在局域网这种场景下更加明显。

准备阶段：

用户中招以后，病毒会为继续传播做准备。首先，创建互斥量保证进程唯一，接着复制到系统目录进行伪装，并且设置了启动项。最后，病毒还会遍历本地磁盘寻找可能存在的邮箱地址。

在企业内网环境下，邮件通信是一种频繁而重要的手段，所以员工主机收到其他员工邮件或者保留他人邮件也是比较正常的。基于此，病毒可收集到大量感染目标。

传播阶段：

这时候病毒先验证网络状态，之后会获取邮件服务器的IP，然后将自身复制到邮件的附件中发送出去。与普通PC登录到邮件服务器进行邮件收发的不同之处在于，此病毒内置了smtp发送功能模块。

0x02 准备阶段

我们捕获到的样本是一个PE文件，病毒伪装成一个屏幕保护程序。

通过逆向，我们看到病毒创建了一个互斥量（[SkyNet.cz]SystemsMutex）来保证同一时刻只运行一个进程。

接下来便用WSAStartup函数启动一个套接字，后面还直接写出了一个邮箱地址。经验证，该邮箱未注册或者不存在，可能是一个伪造的假邮箱地址。

在sub_402EA0函数中，病毒会把自己复制到C:\windows\winlogon.exe，然后写到自启动里。冒充系统进程是很多病毒的常用伎俩，XP的任务管理器是通过进程名来识别系统进程的，结束名字为winlogon.exe的进程时，任务管理器会提示该进程是系统关键进程，不让结束。写完自启动后，该样本紧接着会去尝试删掉一大堆自启动键值，还特别删除了卡巴斯基的启动项。

接下来就是两个创建线程的函数，第一个线程会搜索除了CDROM的磁盘空间，遇到有“shar”字符的文件夹就将其自身复制到该文件夹中。

下图为复制文件名的候选词。

接下来会提取出文件的扩展名，然后根据关注的扩展名判断是否需要提取信息。

病毒关注文件扩展名如下。

提取关注文件中字符串的函数如下，目的是提取Email地址，是为了发送垃圾邮件做准备。

0x03 传播阶段

前面的操作完成以后，就会使用InternetGetConnectedState函数检查一下网络状态。如果网络畅通，接下来又会创建一个线程，用于发送邮件。

接下来病毒会获取主机的网络参数，然后利用默认的DNS服务来获取Email服务的IP。

如果获取不到默认的Email服务器IP，就会利用程序自带的IP来使用邮件服务。

212.44.160.8、195.185.185.195、151.189.13.35、213.191.74.19、193.189.244.205

145.253.2.171、193.141.40.42、194.25.2.134、194.25.2.133、194.25.2.132

194.25.2.131、193.193.158.10、212.7.128.165、212.7.128.162、193.193.144.12

217.5.97.137、195.20.224.234、194.25.2.130、194.25.2.129、212.185.252.136

212.185.253.70、212.185.252.73、62.155.255.16

病毒使用自带的smtp服务对外发送邮件，然后就是构造Email的内容，随机从已准备好的语句中选取内容填写到对应的地方，之后发送。如图，正在跟邮件服务器进行连接，先向服务器发送HELO 打招呼，然后MAIL FROM填写发件人邮箱，RCPT TO填写收件人邮箱，最后输入DATAM命令之后，开始输入邮件内容。