摘要:釣魚郵件是Windows平臺上重要入侵手段之一,而新冠疫情的發生更是為其提供了絕佳的熱點。新冠疫情以來,各黑產組織利用這一機會,以疫情話題作為誘餌釋放釣魚郵件。一時間,各路牛鬼神蛇並起,大量殭屍網路家族肆虐。本文主要內容摘自綠盟科技釋出的《2020 BOTNET趨勢報告》,揭底部分具有代表性傳統和新興郵件木馬家族的設局套路與盈利模式。
傳統銀行木馬依舊活躍
釣魚郵件在2020年的泛濫,助推了Emotet和Trickbot兩大傳統銀行木馬家族繼續保持活躍。
伏影實驗室經過抽樣統計發現,超過50%的釣魚郵件最終投遞了Emotet木馬。這些郵件的誘餌話題非常廣泛,其體裁包括賬單、罰單、請柬、通告和工資單等,內容包括資訊確認、商務交流、廣告宣傳和新冠疫情等。在第三季度後,Emotet更是加大了使用疫情作為誘餌話題的力度。
郵箱內容和地址是銀行木馬竊取的重要內容,但隨著各類資料洩露事件頻發,再加上各類新興間諜軟體的分羹,使得這些資訊來源變得多樣化,促使Emotet這樣的主流銀行木馬轉變發展模式,開始與其他銀行木馬及其他型別家族相勾結,以最大程度地攫取利益。例如,Emotet已成為Trickbot家族較為穩定的傳播渠道之一。伏影實驗室透過統計發現,兩者之間的形式化關聯是如此密切,以至於能反映出Emotet在2020年第二季度陷入沉寂期的情況,併為解讀兩者間的關係提供了入口。
Trickbot在2020年新冠疫情期間異常活躍,其傳播渠道除了郵件以及“借道”Emotet外,還包括了其他銀行木馬與惡意載入器。這些家族又可以透過郵件進行投遞,形成了多級攻擊鏈。此外,Trickbot模組化不斷更新,將一些功能整合或單獨拎出,並發展出針對Windows域管理器的無檔案攻擊方式。Trickbot還實現了Linux平臺元件,利用Linux作為跳板來感染Windows主機,不斷探索攻擊模式。
更有甚者,Emotet和Trickbot曾經聯手下發勒索軟體,且Trickbot又與Ryuk勒索軟體聯手,對網路安全造成了重大威脅。
雙重勒索為“王”
惡意軟體中,殺傷力最強的非勒索軟體莫屬。近年來,勒索軟體藉助釣魚郵件、系統漏洞和弱口令等手段大肆傳播。最初,勒索家族的需求只是錢財,意在本地加密使用者檔案。個別組織為了進一步擴張“財路”,不但加密使用者資料,還會竊取這些內容,以此要挾使用者。
其中,勒索軟體Maze便是這樣一個進行雙重勒索的典型家族。Maze組織會在自家網站實時更新竊取到的資料,聲稱若不及時付款就會公開相關內容,其受害者不乏一些重要機構。同時,Maze組織還不斷造勢,以號召其他勒索軟體加入其運營模式。
這一運營模式的危害在於將勒索軟體原來僅有的資料破壞擴充套件到了資料洩露層面。攻擊者即使在使用者拒不支付贖金的情況下,也可以在網路黑市倒賣這些內容來獲取暴利,使得受害者遭受資料破壞和資料洩露的雙重損失,對網路安全和資料安全構成極大威脅。
付費家族的生財之道
與銀行木馬和勒索軟體由特定組織開發運營並透過資料獲利模式不同,間諜/遠控木馬雖然也由特定組織開發,但通常是售賣給其他攻擊者使用,並沒有“提成”環節。因此,此類木馬無論是商用還是非商用,多采用階梯式售價加許可證的銷售模式。
例如,AgentTesla間諜木馬家族在2020年度透過釣魚郵件迅速擴大了影響規模。由於C#語言程式設計的便利性,使得像AgentTesla這樣基於.NET的間諜類惡意軟體不斷增多,並在一定程度上蠶食了傳統銀行木馬的空間。AgentTesla擁有間諜木馬的普通特徵,即功能的擴充套件性不如遠控木馬,但其背後組織在營銷上模仿商用木馬,憑藉階梯式價格吸引了不同群體。同時,AgentTesla使用了多級中間載荷對自身進行加固和混淆,這表明其背後有著分工明確的團隊,分別執行開發、加固和銷售等不同事務。
此外,老牌載入器木馬SmokeLoader也使用疫情話題包裝自身的釣魚郵件。該家族透過地下交易收取費用,由小型組織或個人購買後再封裝出特定的攻擊鏈進行攻擊。老牌商用遠控木馬NetWire也是一個善於利用釣魚郵件進行傳播的家族。儘管功能一直更新,但與AgentTesla不同,NetWire並無較強的對抗殺軟和反分析特性。因其商用性,除了Windows之外還支援Linux、Mac和安卓平臺,同時實行階梯式售價以吸引不同購買群體,若使用者想擁有所有功能,就需要支付高價。
這些運營模式代表了當今簡單/遠控木馬的發展趨勢和生財之道,也是這些木馬家族持續發展的重要條件。
總結
《2020 BOTNET趨勢報告》介紹了部分具有代表性的傳統和新興郵件木馬家族,包括AgentTesla、NetWire、Maze、Emotet、和Trickbot。這些家族儘管都透過郵件傳播,但型別不同,並展現出如下特徵:間諜/遠控木馬的更新換代主要靠階梯式售價+月付的銷售模式維持;勒索軟體使用兩手威脅使用者,一是加密使用者資料,而是盜取資料;銀行木馬涉及的攻擊鏈更為多樣,加之與某些勒索軟體家族勾結,利益鏈條較為複雜。