在过去五年中，Necurs僵尸网络已经发展成为全球最大的垃圾邮件传播组织。它主要通过邮件发送大量的银行恶意软件、勒索软件、攻击约会网站和股票网站的软件，甚至通过网络钓鱼的方式盗取加密货币钱包凭证的软件。垃圾邮件多达什么程度？有时候，Necurs僵尸网络发送的垃圾邮件活动占了思科Talos团队一天发现总量的90％以上。

为进一步深入分析，Talos从2017年8月到2017年11月期间提取了32个由Necurs发送的不同的垃圾邮件活动，结果发现，这些恶意活动总共通过120万个不同IP地址向200多个国家发送了210多万封垃圾邮件。

Necurs的目标收件人设置

对目标收件人的管理是精准推销的关键一步，从电子邮件营销的角度来看，Necurs似乎不是太复杂。 Necurs的目标收件人数据库中包括那些从网络上收集的电子邮件地址，虽然以这种方法收集来的信息未必可靠，还有就是从一些大型数据库中，比如社交网站中盗窃可靠的电子邮件地址。在去年的下半年，Necurs似乎消失了几个月，数据库中的电子邮件地址似乎也没有增加过，在2017年11月，Necurs就开始有针对性的针对发送电子邮件了，因为那些从网络上收集的电子邮件地址非常不靠谱。

比如，Necurs现在会向诸如“equifax @”这样的地址发送电子邮件，这个电子邮件地址是在2017年从Equifax盗窃来的。还有就是类似于“thisisatestmessageatall @”，'aeson @'，'20jaeson @'和'eson @'这样的个人电子邮件地址。

在Talos收集到的Necurs垃圾邮件中，专家们只提取了收件人的用户别名部分。许多电子邮件别名一看就知道收件人是干什么的。这些电子邮件别名会被Necurs划分为不同的收件人数据库，以方便传播不同的恶意软件。奇怪的是，这个列表还包含了一些奇怪的电子邮件别名，如'unity_unity [0-9] @'，'petgord32truew @'，'iamjustsendingthisleter @'，'docs [0-9] @'等等。

透过IP地址看看哪个国家被攻击的最多

接下来，Talos提取负责发送Necurs垃圾邮件的IP地址，并根据地理位置对数据进行分组。大部分的Necurs的节点都集中在少数几个国家，印度（占垃圾邮件总数的25.7％），越南（占20.3％的垃圾邮件）和伊朗（占垃圾邮件总数的7.3％）。在Talos收集的数据中超过一半（51.3％）的发送IP地址来自这三个国家。相比之下，美国只有6314个（少于1％）IP地址。

Talos还分析了各个垃圾邮件活动，以确定发送IP地址在攻击活动中被重复使用的频率，结果发现攻击重复的频率很少，几乎没有。实际上，在专家提取的所有32个活动中，所收集的数据中没有一个发送IP地址被重复使用过。在Necurs的30个垃圾邮件活动中，只有三个重复发送的IP地址。绝大多数的发送IP地址，937761（占总数的78.6％），只在一个垃圾邮件活动中出现。这意味着，即使僵尸网络足够大，也可以在几个月内发动攻击，而无需大量重复使用已发送的节点。

Necurs的佣金盈利模式早已有之

来自Necurs的广告营销类电子邮件攻击时间通常可分为两大块：工作日和非工作日。另在工作日，Necurs会根据收件人列表发送不容的广告。2017年4月12日Necurs向用户发送了一个关于股票的邮件，这个邮件是关于QSMG的股票，且预计会涨。结果第二天，QSMG的价格就达到了2.33美元。

再比如，Necurs所发送的约会垃圾邮件，该邮件会附带链接地址。如果用户注册了这个网站，则犯罪分子就可以为此获取一笔收益，如果用户注册为会员则他们的提成会更多。

当然，其中最有名就是犯罪分子通过电子邮件方式传播了勒索软件Locky（2016年） ，人们当时只把分析的注意力放在了Locky的攻击威力和勒索数量上，但忽略了一点，就是Necurs每成功传播一次Locky，就会有一次收益。

Necurs为什么会有动力来营销瑞士币

瑞士币，是全球2016年下半年虚拟币圈的一个热点币种，目前还在兴起过程中，为此，其幕后开发人就采用了推荐奖励制度，就是只要你成功推荐了其他人购买则，则就能获得购买金额的一定比例的回报。这就好比之前百度钱包推荐一个人奖励十元钱，阿里云的推广奖励10%佣金，腾讯空间某应用推广奖励模式以及借贷宝的推广奖励模式。

其实，这里要说一句，就是此次Necurs推销瑞士币的策略和之前推销股票的策略是一样的。都是在收件人列表中选择特定的用户进行发送，通常这种垃圾邮件策略被称为 pump and dump。pump and dump的字面解释是抽水与丢下，也就是哄抬股价，高时卖出的意思，在本文中指的就是依赖于发送大量的垃圾邮件来促进用户对特定的低价股票的兴趣。当垃圾邮件发送者预先以低价购买了股票，该股票会在短时间内拉高，等更多的人入场，把价格抬高后，庄家就会出售股票，至此该股票就被彻底玩坏了。比如上文举的那支股票，在向特定的用户推荐后，该股票在很短的时间内涨到了2.33美元，但很快就落到了2美分以下。

本次的瑞士币也一样，在向特定的用户发送邮件推销后，瑞士币曾经大涨了几天，结果之后，就疯狂的下跌。目前，其交易价格只有最高时候的 40％。不过也有人分析说，此次的价格下跌也可能和比特币的下跌有关，因为比特币的下跌带动了让整个加密货币市场都萎靡了。

其实关于瑞士币的这种营销行为，去年有一份报告已经将其描述为多层面营销 ( MLM ) 的庞氏骗局。虽然期间经过了短暂的停止交易，但很快也就恢复了，要说明的是，Necurs垃圾邮件也在恢复当天开始传播的。

目前 Necurs 僵尸网络的垃圾邮件按着收件人列表的不同分为三种，以下就是三种邮件主题：

1.This crypto coin could go up fifty thousand percent this year （这个加密货币今年可能会上涨 5 万美元）

2.Let me tell you about one crypto currency that could turn 1000 bucks into 1 million（让我告诉你一种可以将 1000 美元变成 100 万美元的加密货币）

3.Forget about bitcoin, there’s a way better coin you can buy （忘掉比特币吧，你可以买到更好的加密货币）

那Necurs是怎样实现精准营销瑞士币的呢？

请注意域“mymyetherwallet.com”中的单词“my”，该域名与真正的Etherium钱包管理网站myetherwallet.com类似。例如，在2017年10月30日发送的电子邮件中，专家可以看到他们正在使用到“supercoins.top”域名的链接。 

检查这个域名的whois记录，专家看到以下注册细节，请注意注册人电子邮件“[email protected]”。在对“[email protected]”注册的域名进行审查后，发现了399个域名。

在一些比较显着的域名中，专家可以看到明显的钓鱼域名：

amex-notification.com
amexcardmail.com
amexmailnotification.com
natwestonlinebanking.info
hsbc-sec.site
dropbox-ch.co
dropbox-fileshare.com
dropboxmailgate.com
paypa1.info
sage-uk.com
sagepay.info

针对加密货币相关网站的错字域名：

myetlherwa11et.com
myetlherwalllet.com
rnyetherwa11et.com
blockchaifn.info
blockchaign.info
blockchainel.info
blockchaingr.info
blockchait.info
blockchalgn.info
blockchalne.info
blockchalner.info
blockchalng.info
blockchanel.info
blockchart.info
blockchatn.info
blockcheing.info
blockcheit.info
blockclmain.info
blockclnajn.info
bloclnchain.info
bloknchain.info

伪装的Flash Player更新域名：

flash-ide-update.top
flash-ime-update.top
flash-one-eupdate.top
flash-one-update.info
flash-player-update.info
flash-update-player.info

伪装成政府资源的域：

asic-gov-au.co
australia-gov-au.com
canadapost-office.info
govonfraud.info

该域名是一个电子商务网站，用于购买和出售被盗的信用卡号码，被盗的ssh账户凭证等。

DNS还会显示攻击者在同一IP地址上托管属于不同注册人的域的情况，例如，当Talos分析攻击者域名之一的DNS记录：“setinfoconf.com”时，专家发现这个域名在2016年底被托管在一个IP地址上几个月后才被停止。

更多钓鱼网域：

amex-psk.org
amexsafetykey.org
applerecoveryprogram.com
applerecoveryprogram.top
barcalys-offers-online.com
bt-europe.com
btconnect.biz
btconnect.info
bttconnect.com
dhl4.com
docusign-australia.com
docusign-net.com
docusigner.org
dropbox-eu.com
dropboxa.com
dropboxes.org
dropboxsharing.com
dropboxsmarter.com
e-intuit.com
efaxplus.com
global-intuit.com
hsbcbank.top
inc-r.com
ing-update.info
kbc-bank.info
paupal.info
paypa.info
poypa1.info
quickbooks-intuit-uk.com
quickbooks-support.biz
quickbooksonlineaccounting.com
sage-uk.org
sageim.com
sages.biz
sagetop.com
security-hsbc.site
servicebying.com
telestrasystems.com
vodafonestore.net
wellsfargocertificate-637-9270.com

更多以加密货币相关资源为目标的域名：

blockchfain.info
blokochain.info
myethelrwallet.com
myetherwallet.top
myetherwlallet.com
myethlerwallet.com
rnyetherwlallet.com

类似的主题，比如，伪装的Flash Player更新：

flash-foe-update.win
flash-ire-update.win
flash-new-update.info
flash-old-update.top
flash-ome-update.win
flash-one-eupdatee.top
flash-one-eupdatte.top
flash-one-update.top
flash-one-update.win
flash-onenew-update.info
flash-ooe-update.win
flash-ore-update.win
flash-oue-update.top
flash-owe-update.win
flash-oxe-update.win
flash-oye-update.win
flash-playernewupdate.info
flash-toe-update.win
flash-woe-update.win
flash-yoe-update.win
flashnew-update.info
flashplayernew-update.info

专家甚至看到了以政府资源为目标:

afp-gov-au.com
asic-au-gov.com
asic-gov-au.com
asic-government-au.com
asic-mail-gov-au.com
asic-message-gov-au.com
asic-notification-gov.com
ato-gov-au.net
augovn.com
austgov.com
australiangovernement.com
australiangovernments.com
federalgovernmentaustralia.com
gov-invoices.info
goviau.co
[email protected]

在与“[email protected]”相关的一些域名上进行注册时，专家们发现了攻击者使用的另一个注册电子邮件地址——[email protected]。

截止2017年1月17日，qq.com的电子邮件地址已与2500多个域名相关。以下是一些典型的域名:

aapk.bid
aapo.bid
aapq.bid
aapu.bid
aapv.bid
aapw.bid
aapx.bid
jbanj.top
jcqth.top
jhtaq.top
jhugs.top
jian0.top
jian1.top
jian2.top
jian3.top

不合法的域名:

amex-notification.com
amexaccountvalidate.com
amexcardcustomerservice.com
amexcardmail.com
amexcardpersonalsafetykey.com
amexcardpsk.com
amexcardsafetykey.com
amexcardservice.com
amexcardservicevalidate.com
amexcardsupport.com
amexcardsupportservice.com
amexcardsupportteam.com
amexcardverification.com
amexcardverified.com
amexcardverifier.com
amexcloudcervice.com
amexcustomersupport.com
amexmailnotification.com
amexotpcardcustomerservice.com
amexotpcardsupport.com
amexotpgenerate.com
amexotpgeneratesetup.com
amexotpsetup.com
amexotpsetupcustomerservice.com
amexotpsetupservice.com
amexpersonalsafekey.com
amexpersonalsafetykey.com
amexpersonalsafetykeyregistration.com
amexpersonalsafetykeysupport.com
amexpskcustomerservice.com
amexpskkey.com
amexpsksupport.com
amexsafetykeycustomerservice.com
amexverifier.com
amexverifierservice.com
docusign-australia.com
docusign-net.com
dropboxbusinessaccount.com
mail-asic-government-au.com
postbank-kundennummer43.com
postbank-kundennummerfinnaz.com
salesforceproaccount.com
verifybyamericanexpress.com
verifybyamexcards.com
yandex-login.com
yandex-user578185.com
yandex-user912.com
yandex-user952.com

专家们可以使用类似的技术将更多的注册电子邮件帐户与这些相同的攻击参与者联系起来。

再以[email protected]为例，域名“indian-trk711.com”属于注册邮箱“[email protected]”。2017年10月25日至10月30日，“indian-trk711.com”域名的IP地址是47.254.18.28 IP，也非常接近于专家们看到IP托管其他恶意域名的时间框架。

截至2017年1月16日，DomainTools（国际域名查询工具）已将918个域名归为注册人 “[email protected]”。

总结

专家们预期，Necurs的攻击目的还是为了最大化盈利，为此，它们也选择了与其它攻击盈利模式不一样的方式——抽佣金，凭借着对收件人列表的准确管理和庞大的邮件注册数量，Necurs的攻击者可谓赚的盆满钵满。