嗨,我是智能客服信服君!我能1秒钟解决您的问题
反垃圾邮件效果不好?可能是Netsky蠕虫在搞事
  

SSEC 发表于 2018-3-30 16:45

本帖最后由 SSEC 于 2018-3-30 16:48 编辑

近期,深信服EDR安全团队接到某企业用户反馈,称其内网邮件服务器已部署了反垃圾邮件功能,但仍然能收到大量的垃圾邮件、钓鱼邮件、附件带病毒的邮件,严重影响其办公体验。
我们深入研究发现,这是Email蠕虫病毒Netsky导致的邮件风暴,该病毒主要借助邮件不断复制自身进行网络传播。在企业办公环境内,中毒主机可直接发恶意邮件,绕开内网邮件服务器反垃圾邮件功能,传播相当迅猛。
传统的单机杀毒功能或独立的反垃圾邮件功能,并无法彻底根除此顽疾。

0x01 攻击场景
该病毒主要借助邮件进行网络传播,在局域网这种场景下更加明显。
图片1.png
准备阶段:
用户中招以后,病毒会为继续传播做准备。首先,创建互斥量保证进程唯一,接着复制到系统目录进行伪装,并且设置了启动项。最后,病毒还会遍历本地磁盘寻找可能存在的邮箱地址。
在企业内网环境下,邮件通信是一种频繁而重要的手段,所以员工主机收到其他员工邮件或者保留他人邮件也是比较正常的。基于此,病毒可收集到大量感染目标。

传播阶段:
这时候病毒先验证网络状态,之后会获取邮件服务器的IP,然后将自身复制到邮件的附件中发送出去。与普通PC登录到邮件服务器进行邮件收发的不同之处在于,此病毒内置了smtp发送功能模块。

0x02 准备阶段

我们捕获到的样本是一个PE文件,病毒伪装成一个屏幕保护程序。
通过逆向,我们看到病毒创建了一个互斥量([SkyNet.cz]SystemsMutex)来保证同一时刻只运行一个进程。
图片2.png
接下来便用WSAStartup函数启动一个套接字,后面还直接写出了一个邮箱地址。经验证,该邮箱未注册或者不存在,可能是一个伪造的假邮箱地址。
图片3.png
在sub_402EA0函数中,病毒会把自己复制到C:\windows\winlogon.exe,然后写到自启动里。冒充系统进程是很多病毒的常用伎俩,XP的任务管理器是通过进程名来识别系统进程的,结束名字为winlogon.exe的进程时,任务管理器会提示该进程是系统关键进程,不让结束。写完自启动后,该样本紧接着会去尝试删掉一大堆自启动键值,还特别删除了卡巴斯基的启动项。
图片4.png
接下来就是两个创建线程的函数,第一个线程会搜索除了CDROM的磁盘空间,遇到有“shar”字符的文件夹就将其自身复制到该文件夹中。
下图为复制文件名的候选词。
图片5.png
接下来会提取出文件的扩展名,然后根据关注的扩展名判断是否需要提取信息。
病毒关注文件扩展名如下。
图片6.png
提取关注文件中字符串的函数如下,目的是提取Email地址,是为了发送垃圾邮件做准备。
图片7.png

0x03 传播阶段

前面的操作完成以后,就会使用InternetGetConnectedState函数检查一下网络状态。如果网络畅通,接下来又会创建一个线程,用于发送邮件。
图片8.png
接下来病毒会获取主机的网络参数,然后利用默认的DNS服务来获取Email服务的IP。
图片9.png
如果获取不到默认的Email服务器IP,就会利用程序自带的IP来使用邮件服务。
212.44.160.8、195.185.185.195、151.189.13.35、213.191.74.19、193.189.244.205
145.253.2.171、193.141.40.42、194.25.2.134、194.25.2.133、194.25.2.132   
194.25.2.131、193.193.158.10、212.7.128.165、212.7.128.162、193.193.144.12
217.5.97.137、195.20.224.234、194.25.2.130、194.25.2.129、212.185.252.136
212.185.253.70、212.185.252.73、62.155.255.16

病毒使用自带的smtp服务对外发送邮件,然后就是构造Email的内容,随机从已准备好的语句中选取内容填写到对应的地方,之后发送。如图,正在跟邮件服务器进行连接,先向服务器发送HELO 打招呼,然后MAIL FROM填写发件人邮箱,RCPT TO填写收件人邮箱,最后输入DATAM命令之后,开始输入邮件内容。
图片10.png
下图是构建邮件内容的代码。
图片11.png
病毒还会将自身添加到邮件附件当中,以达到借助网络传播的目的,并会用如图的四种后缀命名附件。
图片12.png
图片13.png
发送完邮件以后会输入quit.来结束一次邮件传输,之后垃圾邮件的传播便完成。
图片14.png
0x04 解决方案

传统的单机杀毒或独立的反垃圾邮件功能,并无法彻底根除此顽疾,建议采取一个综合的防治方案。

1.对内提醒员工,不能轻易打开邮件中的附件、不安全链接及其它任何文件,提高警惕,防止钓鱼攻击。
2.开启内网邮件服务器的反垃圾邮件功能,开启防火墙邮件杀毒功能。
3.内网推荐部署深信服终端检测响应平台(EDR),可对内网所有感染Netsky病毒的主机进行一键查杀。
图片15.png
4.使用深信服终端检测响应平台(EDR)的微隔离功能,定义内网邮件服务器角色、普通PC角色,只允许内网邮件服务器收发邮件,即禁止普通PC直接私自收发邮件,同时只允许普通PC登录到内网服务器中收发邮件。这样,可有效预防此类病毒再复发。
图片16.png

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

sangfor_闪电回_晓六 发表于 2018-4-1 17:43
  
很棒的分享
李铁柱 Lv2发表于 2018-4-3 10:22
  
谢谢分享
誓言落寞了年华 Lv6发表于 2018-4-8 15:33
  
学习到了 很棒的分享
yl2352 Lv6发表于 2018-4-18 08:42
  
谢谢分享,
maoxs Lv11发表于 2018-4-18 09:00
  
学习了,谢谢分享
Snail5027 Lv1发表于 2018-4-19 13:51
  
这是真的干货啊,厉害。学习

×
有话想说?点这里!
可评论、可发帖

本版版主

48
15
1

发帖

粉丝

关注

本版热帖

本版达人

SANGFOR...

本周分享达人