2016年9月29日，星期四.pdfVIP

2 0 1 6 年 9 月 2 9 日，星期四 以美女照片作为诱饵的Tofsee 恶意软件一个气焰嚣张的僵 尸网络 作者：Edmund Brumaghin 摘要 Tofsee 是一种多用途恶意软件，已经存在多年，至少从2013 年就已开始活动。它采用了大 量模块来执行各种活动，例如发送垃圾邮件、实施点击欺诈、挖掘加密货币，等等。系统一 旦感染这种恶意软件，就会成为Tofsee 垃圾邮件僵尸网络的一部分，然后被攻击者用于发送 大量垃圾邮件，以图感染更多系统并扩大受攻击者控制的僵尸网络的整体规模。 今年初，Talos 发布了一篇博文，论述了RIG 漏洞攻击包如何利用恶意广告活动将此恶意软 件传输到受危害的终端。恶意广告是一种漏洞攻击包常用的技术，以图感染那些浏览含有危 害性广告的网站的用户电脑。6 月份这种活动似乎消失了，但最近Talos 发现包含用于分发 Tofsee 的恶意附件的垃圾邮件活动在数量和速度上又有明显增长。 Tofsee 垃圾邮件活动 2016 年6 月，在Angler 漏洞攻击包从威胁格局中消失之后，其他主要漏洞攻击包纷纷开始 转向其他负载。RIG 漏洞攻击包已从分发Tofsee 转为分发其他负载，这可能是因为从牟利的 角度来看，分发其他负载对于网络犯罪者更有吸引力，也可能只是因为不同的攻击者也已开 始使用这种漏洞攻击包作为其恶意软件的分发机制。 鉴于受感染主机尝试分发的垃圾邮件数量之大，基于DNS 的黑洞列表(DNSBL) 迅速增加了很 多新的节点，而且发生这种情况后，大多数主要邮件服务运营商都不再接受新邮件传输方式。 为了保持垃圾邮件数量稳定不变，必须不断增加新节点。当RIG 停止分发Tofsee 负载时，负 责Tofsee 的攻击者开始转向其他分发方法。 众所周知，Tofsee 僵尸网络通常发送垃圾邮件，但最初这些邮件包含的都是成人交友约会网 站和医药网站的链接。从8 月份开始，Talos 发现这个僵尸网络发送的垃圾邮件性质开始有 所变化。Tofsee 垃圾邮件僵尸网络开始利用恶意附件作为恶意软件下载程序。这种活动在速 度和数量方面已经有所增长。 图1：包含恶意软件下载程序的邮件的数量 初始感染媒介 一开始感染这种Tofsee 变体的方式似乎是通过诱使用户打开由网络钓鱼邮件发送的恶意附件 完成的。这种网络钓鱼邮件声称来自东欧（即俄罗斯和乌克兰）的女性，而且邮件主题是成 人交友约会。每封邮件包含的文本略有差异，但是经Talos 分析的所有邮件均采用相同的格 式。这些邮件声称包含zip 存档附件，内含发件人的照片以及某个俄罗斯成人交友约会网站 的链接。下面是Tofsee 邮件正文的示例： 图2 ：Tofsee 垃圾邮件示例 Javascript 下载程序 此附件是一个名称为[发送者名字]-photos.zip 的zip 存档文件，其中包含一个Javascript 文件。 在我们分析的所有案例中，此Javascript 文件的文件名都是某位女性的名字。各组邮件的文 件名和散列各不相同，其中有些邮件是在任意特定日期发送的。Javascript 附件中的代码经 过混淆处理，以图增加分析难度。 图3 ：经过混淆处理的Javascript 下载程序示例 上面的Javascript 对WScript 下载程序进行了混淆处理，此下载程序用于从攻击者控制的网 站检索和执行恶意PE32 可执行文件。此下载程序在执行时会检索恶意可执行文件并运行该 文件，从而使系统感染Tofsee 。 感染详情 此恶意软件将一个随机命名的PE32 可执行文件投放到%USERPROFILE% 目录中。 图4 ：所投放的Tofsee 二进制文件 所投放的可执行文件已注册，只要受感染的用户登录系统就会启动。此过程是通过向 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 添加一个条目来执行的。 图5 ：持续性机制 它还会使用一个批处理文件删除初始二进制文件，此批处理文件临时存储在%TEMP% 目录中。 图6 ：TEMP 目录中存储的批处理文件 系统一旦感染，就会开始连接各种SMTP 中继并发送垃圾邮件。 图7 ：SMTP 连接 此外，当恶意软件在点击