导语:僵尸网络就像怪物一样,沉寂一段时间之后才露出真面目,而这一次的怪物是Necurs僵尸网络。Necurs是世界上最大的恶意网络,曾被用来散播可怕的病毒,但自今年6月1日之后它就消失了。

通常来说僵尸网络就像怪物一样,沉寂一段时间之后才露出真面目,而这一次的怪物是Necurs僵尸网络。Necurs是世界上最大的恶意网络,曾被用来散播可怕的病毒,但自今年6月1日之后它就消失了。

Necurs曾被诈骗犯用来传递Dridex银行恶意软件和可怕的Locky勒索软件,许多安全专家对Necurs的消失感到疑惑。

FireEye的研究员Joonho Sa在Motherboard网站上证实,

我们只能说,经过观察,自6月1日起Dridex和Locky经垃圾邮件散播的活动已停止,我们没法弄清这个僵尸网络是如何结束的。

在2015年早些时候首次发现Necurs时,专家们程其为“一项犯罪的杰作”,并将其归为传播病毒复杂高效的恶意网站。

2015年10月,包括FBI和NCA在内的各国执法机构,经过共同努力,摧毁了这个僵尸网络。但它重现后,却主要被用来传播Locky勒索软件。专家们证也实其正是是世界上最大的僵尸网络Necurs。

僵尸网络Necurs复活了

现在看来,这就像是一部怪兽电影的续集,这只怪兽真的复活了。这不禁让我们联想到最近垃圾邮件数量渐增。2016年以前,平均有200k的IP地址被列在SpamCopBlock列表上,但今年已经翻了一番达到400k,甚至飙到了450k。的确,我们确实看到了这个老怪物的续集。

事实上,以过时的手段传播的大量垃圾邮件已被垃圾邮件过滤器过滤掉了。目前,这种手段在很短的时间间隔内,已经被更为隐蔽的手段所取代,而幕后黑手Necurs已经将其攻击方式从持续性攻击转变为快速短暂性攻击。攻击者在这种情况下能够迅速摆脱,这就使我们觉得垃圾邮件过滤器就像监狱大门,而垃圾邮件就像罪犯一样试图逃脱。该想法是,利用监狱大门的一点延迟,尽可能多地关住将逃出的罪犯。在这种情况下,“罪犯”以电子邮件形式通过,并在目标上载入恶意软件。

Talos团队在博客发帖说到,“在今年,垃圾邮件已经攀升到极其恐怖的量,我们也已经很久没看到如此水平。我向你展示一份案例(这十年CBL总量图),如图所示,最后一次垃圾邮件总量达到如此高的水平是在2010年中期。”

停止潜伏已经导致产生了更多的猎物,这对从那时起Necurs的幕后黑手来说是双赢的。这场运动已给恶意攻击者带来许多利益。研究人员警示说,该攻击模型可能其他僵尸网运营商复制。

Talos团队解释到,

电子邮件病毒就跟其他东西一样不断发展。当我们提升技术,检测到并消灭这些病毒的同时,攻击者也在进行应对,使之如何躲避检测技术。不幸的是,没有任何良方来阻止垃圾邮件传播。许多公司鼓励构建出分层防御系统,最大化的检测并阻止这种攻击。

因此,怪兽电影已经重启,并带来续集的预告。问题是,你是打算“买票”,还是已经准备好应对垃圾邮件的保护机制呢?

源链接

Hacking more

...