近日腾讯安全反病毒实验室捕获了一系列通过邮件进行传播的攻击。这次攻击分为三个主要阶段和其后不断地变种攻击，都是借助钓鱼邮件的形式进行传播的。经过我们的分析，这些攻击是来自一个团伙。
下图这封邮件是第三次邮件钓鱼攻击中的一封邮件。
自7月24号起到7月31号，不法分子发起了三次攻击，规模越来越大，作恶方式，技术手段也不断更新。木马作者为了不法利益，步步为营，机关算尽。并且，密切跟踪发现，目前不法分子仍在不断变换方式进行攻击，每日仍有大量木马新变种被陆续发现。
下面我们将从事件概述，溯源分析，技术手法等方面对此次攻击进行介绍。
事件概述：
下图展示的就是此次发现的攻击的概况：
可见短短的一周事件，黑客就发起了三次攻击，并且后续的攻击仍在继续中。
trick bot攻击：
第一起发生在7月24号，规模较小，当天有50多封钓鱼邮件。攻击是通过一个带附件的邮件进行传播的。附件是一个wsf的脚本，运行后会下载另外一个加密的脚本，并最终下载解密运行可执行文件。这个可执行文件正是去年的一种银行木马，叫做trick bot。最终的目的就是注入浏览器，盗取用户与银行有关的信息和密码。
globelmposter707勒索：
第二起发生在7月27号，相比于第一次，这次规模更大，有600多封邮件。这次是通过运行带有宏的word文档，来执行恶意行为的。如果用户电脑word开启了宏，运行word后会从c&c服务器下载样本。最终用户电脑会被全盘加密勒索，被加密文件后缀名为707，此次加密类型也包含了exe文件，这与之前发生的勒索加密有些差异。加密可执行文件有可能导致用户电脑程序无法打开或者崩溃，这对用户危害更大，作恶手段也更恶劣。经过调查，此类加密木马是一类叫做globelmposter的勒索病毒。
globelmposter725勒索：
经过前两次的试探，7月31号，真正的较量拉开了序幕。此次攻击规模非常大，共计有近3000封邮件，这次收到的是压缩包，里面存放了vbs脚本，最终会通过脚本下载exe，并实现加密。这次加密后的后缀是725。弹出的勒索框与707是类似的。这两次攻击事件所使用的恶意样本是一个勒索家族系列的。三次攻击，黑客使用的发件人邮箱都是随机生成的，没有什么规律。
最新变种：
腾讯安全反病毒实验室密切关注此次事件，并且建立了同类木马的监控方案。通过监控发现，进入8月以后，木马作者仍然在继续通过邮件传播的方式传播木马新型变种，变种木马作恶流程与之前基本一致，只不过加密文件后的后缀发生了变化。目前陆续发现的新的加密后缀包括726、coded等多种类型。
影响范围：
目前统计这次攻击的国内中毒地域分布，广东和北京中招的用户较多：
溯源僵尸网络：
追踪幕后黑手
下图展示了三次攻击的流程。
首先第二次和第三次的勒索方式，一个是707，一个是725，都是一类globelmposter勒索病毒。弹出的勒索信息界面也极为相似。下图中，左图为707的勒索界面，右图为725的勒索界面。
其次，在第一次和第三次的攻击中，都有脚本文件，对比两次的vb脚本，发现部分代码的混淆方式也是一致的。
上图第一幅是第一次攻击事件的脚本部分混淆代码，第二幅图是第三次攻击的代码。由以上两点可以推断，是同一个团伙作案。
分析攻击的邮件主题和附件名称，发现主题非常的简略，一般只有一句与payment或者receipt有关提示性语句，同时附件名称是开头一个字母p，随后跟着几个数字的压缩包，如p8843.zip。这些线索让我们想起了臭名昭著的僵尸网络——necurs。
necurs危害
necurs是世界上最大的恶意僵尸网络之一，甚至被称为“恶意木马传播的基础设施”，曾有多个恶意家族木马的传播被证明或怀疑与necurs木马构建的僵尸网络有关，包括臭名昭著的勒索病毒locky、jaff，以银行凭证为主要目标的木马dridex等。necurs僵尸网络发送的邮件主题与附件命名方式与这次攻击也极为相似。
necurs不仅仅是一个垃圾邮件工具，它还具备rootkit能力和对抗杀软的能力，一旦感染了用户的机器就很难被清除掉。此外，necurs实现了模块化的设计，可以根据不同的任务而加载不同的恶意模块，使得受害者的电脑被任意地操纵。下图展示的是僵尸网络与病毒之间的关系。
黑客通过各种方式控制全球范围内的一大批肉鸡，组建一个僵尸网络。“手里有粮,心里不慌”，有了这么大的资源后，黑客既可以把资源包装后在黑产上出售，比如以服务的形式为病毒作者传播勒索病毒，或者自立山头，亲自传播勒索病毒，从中获利。
同时也可以看到，发件人邮箱或者ip地址与真正的幕后黑手还有很远的距离，这也加大了安全工作人员追查幕后黑手的难度。
下图显示了感染necurs病毒的ip数目趋势图，在7月中下旬有一轮爆发趋势，正好与此次攻击事件重合：
necurs历史
关于necurs僵尸网络最早的技术分析可以追溯到2012年，当时微软发布安全警告提醒用户警惕necurs木马的传播，并提到木马用到了一些主动关闭电脑安全防护措施的手段。在其后的一段时间内，necurs僵尸网络主要被用于传播zeus、cryptowall、dridex、locky等木马。
2016年6月开始，necurs僵尸网络曾经有一段长时间的沉寂，监控到的恶意流量一度下降超过九成。关于这次沉寂，安全专家有不同的猜测，有人认为服务器遇到了技术故障或者已经易主，也有人将其与当时50名lurk木马开发者被捕联系起来，认为此僵尸网络已经失效。
不幸的是，不久之后，necurs僵尸网络又卷土重来，还带来了许多新的恶意功能，比如更新了发动ddos攻击的模块，甚至还在股票市场上耍起了花招。2017年3月，大量虚假邮件通过necurs僵尸网络被发送出去，邮件并未携带恶意附件，而是假称一家名为incapta公司的股票有利可图，建议进行购买。
从消息发布后几分钟的截图可以看出，股市的交易股票数量发生了大幅的增长趋势。安全人员推测，通过引诱很多人买入股票推高股价，可以使得某些幕后操纵者从中获利。
从那以后，还有许多其它的木马攻击事件跟necurs联系在一起，例如jaff和此次的globeimposter等。
necurs木马进入受害者电脑的途径，目前有大量的监控证据指向那些自动攻击工具包，例如blackhole exploit pack、nuclearexploit kits、angler exploit kits等。在受害者查看恶意网页时，这些工具包会分析受害者电脑上的漏洞，自动给受害者发送对应的漏洞利用代码，然后利用这些漏洞将木马悄悄下载到电脑上并运行。
necurs自身也有一定的传播能力，比如通过移动硬盘或者共享网络资源传播到其它电脑。此外，也有安全人员发现necurs木马捆绑在其它木马中，或者通过邮件进行传播。
c&c服务器：
目前捕获到的勒索病毒c&c服务器有上百个，并且都还处于活跃状态。经统计，c&c服务器的地理位置分布如下，可以看到大部分位于美国、法国等国家：
进一步查询发现，病毒作者注意隐藏自己的信息，服务器域名的注册信息基本都处于保护状态，无法追查到具体的个人。下图列举了部分c&c服务器上恶意payload的下载地址：
技术分析：
trick bot银行木马：
三次攻击事件所使用的手法比较常见，这里进行一个简要的分析。第一次攻击是从wsf开始的，脚本运行后用rundll32，去加载另外一个加密脚本
第二个脚本是一个混淆的vbscript，简单看一下，是从网上下载文件，解密后运行
下载后，存到%temp%\fplljs.exea,
用key解密后释放了可执行%temp%\fplljs.exe，随后病毒就会加载这个exe。这个可执行文件就是之前出现的trick bot银行木马。下图中最后一行的shine函数，会调用后续的解密逻辑并加载解密后的恶意木马。
globelmposter707恶意勒索
双击运行word文档，启动后提示是否允许执行宏代码，点击允许。通过开启的行为监控log，会发现winword进程下载了名字为hurd8.exe的可执行文件，并运行，下载地址：kaixinppz
进程运行后在%temp%目录释放.bat文件并执行，bat用于删除磁盘备份的卷宗，注册表、系统事件日志等相关信息。
然后开始扫描电脑硬盘，对各个磁盘的exe、dll、sys、bmp、txt、ini等文件进行加密，加密影响了电脑所有文档类、图片类文件的查看，以及第三方软件可执行文件也被加密，无法打开软件。pe文件加密后不可执行，因此排除了感染型的可能。
木马加密过程比较漫长，同时刻意保留了系统文件，保证用户电脑可以正常开机，浏览网页（方便后续缴纳敲诈赎金）。在被加密的每个文件夹下，木马会生成recover-files.html网页文件，打开后可以看到是真正的勒索页面。
点击按钮yes,i want to buy，会进一步发送一些加密数据到黑客部署在暗网中的服务器，同时弹出最终的勒索界面。要求被害者在两天内支付0.2比特币。
globelmposter725恶意勒索：
针对后缀名725恶意勒索，zip包内是vbs，vbs内有下载pe的链接
下载回pe文件，会释放一个敲诈勒索样本，以下文件后缀会被加密：
将病毒样本复制到users目录，写注册表启动项信息，并开机自启动，在temp目录下创建bat批处理并启动
读取资源，资源里存着加密过的敲诈勒索html信息，解密后的html文件显示如下图。
上图展示的是加密部分，用的是rsa加密，加密完后的文件会在原文件名后添加.725