【狂人論壇】

 找回密碼
 註冊
搜索

MyDoom 2019年依然活躍 台灣受到威脅全球第三

1070

主題

3876

金錢

39

積分

積分
39
Shangs54139699 發表於 2019-8-6 16:16 | 顯示全部樓層 |閱讀模式
MyDoom2019年依然活躍 台灣受到威脅全球第三
MyDoom是一種惡名昭彰的電腦蠕蟲病毒最早於2004年初被發現。這種惡意軟體已成為最具破壞性的電腦病毒,估計損失達380億美元(台幣114百萬元)。儘管現在已經過了它的全盛時期,MyDoom仍繼續存在於網路威脅領域。例如,就在2017年,Palo Alto Networks特別在雙月度威脅報告中紀錄MyDoomEMEA(中東和非洲)地區的活動。
MyDoom在過去幾年相對來說保持著一致性,平均大概1.1%的電子郵件中會發現惡意軟體附件。我們每個月都會持續紀錄成千上萬的MyDoom樣本。絕大多數MyDoom電子郵件位址來自中國,而美國則排在第二位。這些電子郵件被發送到全世界,主要針對高科技,批發和零售,醫療保健,教育和製造業。
這篇部落格文章近年來追蹤MyDoom,並關注2019年前六個月的趨勢。
MyDoom活動:2015年至2018
雖然沒有其他惡意軟體系列那麼突出,但近年來我們發現前後表現一致的MyDoom樣本。MyDoom的傳播方法是透過電子郵件使用SMTP。我們將包含MyDoom附件的電子郵件與包含其他惡意軟體附件的電子郵件進行比較。從2015年至2018年的四年期間,平均每1.1%的惡意電子郵件中包含MyDoom。在同一時期查看各個單一惡意軟體樣本時,MyDoom平均佔所有惡意軟體也高達21.4%。
為什麼MyDoom電子郵件的百分比遠低於MyDoom附件的百分比? 因為許多惡意電子郵件,都會透過活動訊息挾帶相同的惡意樣本給成千上萬的收件人。 MyDoom多態性的,這會導致在我們發現的每封電子郵件中有著不同的散列檔案。因此,雖然電子郵件的數量相對較少,但與通過電子郵件散播的其他惡意軟體相比,樣本數量相對較高。表1包含2015年至2018年的統計數據。
  
年份
  
MyDoom 電子郵件
包含惡意軟體的電子郵件總數
MyDoom電子郵件的百分比
MyDoom樣本
惡意軟體總樣本
MyDoom樣本的百分比
2015
574,674
27,599,631
2.1%
87,119
615,386
14.2%
2016
589,107
77,575,376
0.8%
142,659
960,517
14.9%
2017
309,978
79,599,864
0.4%
95,115
340,433
27.9%
2018
663,212
64,919,295
1.0%
150,075
528,306
28.4%
1. 2015年至2018年的MyDoom統計數據。

MyDoom活動:2019
2018整年相比,MyDoom2019年前六個月的活動顯示出相似的平均值,電子郵件和惡意軟體樣本的比例略高。詳細資訊請參見表2
  
年份
  
MyDoom 電子郵件
包含惡意軟體的電子郵件總數
MyDoom電子郵件的百分比
MyDoom樣本
惡意軟體總樣本
MyDoom樣本的百分比
1月至6
  
2019
465,896
41,002,585
1.1%
92,932
302,820
30.1%
表2. 2019年前六個月的MyDoom統計數據。

574 MyDoom樣本出現超過一個月,因此下表3中的MyDoom惡意軟體樣本總數與上表中六個月內MyDoom樣本總數不同。
  
月份
  
MyDoom 電子郵件
MyDoom惡意軟體樣本
2019/1月
54,371
14,441
2019 /2月
47,748
11,566
2019/3月
80,537
18,789
2019/4月
92,049
17,278
2019 /5月
113,037
15,586
2019/6月
78,154
15,846
表3. 2019年前六個月的MyDoom月度統計數據。

這些電子郵件來自哪裡? 我們在2019年前六個月看到的十大國家的位址是:
Ÿ  中國:349,454封電子郵件
Ÿ  美國:18,590封電子郵件
Ÿ  英國:10,151封電子郵件
Ÿ  越南:4,426封電子郵件
Ÿ  南韓:2,575封電子郵件
Ÿ  西班牙:2,154封電子郵件
Ÿ  俄羅斯:1,007封電子郵件
Ÿ  印度:657封電子郵件
Ÿ  台灣:536封電子郵件
Ÿ  哈薩克:388封電子郵件

目標國家比來源國更加多樣化和均勻分佈。十大目標國家是:
Ÿ  中國:72,713封電子郵件
Ÿ  美國:56,135封電子郵件
Ÿ  台灣:5,628封電子郵件
Ÿ  德國:5,503封電子郵件
Ÿ  日本:5,105封電子郵件
Ÿ  新加坡:3,097封電子郵件
Ÿ  南韓:1,892封電子郵件
Ÿ  羅馬尼亞:1,651封電子郵件
Ÿ  澳洲:1,295封電子郵件
Ÿ  英國:1,187封電子郵件
file:///C:/Users/miyah/AppData/Local/Temp/msohtmlclip1/01/clip_image016.png
圖8. 2019年前六個月MyDoom發送電子郵件的目標國家。
在此期間,前十大垂直行業是:
Ÿ  高科技:212,641封電子郵件
Ÿ  批發和零售:84,996封電子郵件
Ÿ  醫療保健:49,782封電子郵件
Ÿ  教育:37,961封電子郵件
Ÿ  製造業:32,429封電子郵件
Ÿ  專業和法律服務:19,401封電子郵件
Ÿ  電信:4,125封電子郵件
Ÿ  財務:2,259封電子郵件
Ÿ  運輸和物流:1,595封電子郵件
Ÿ  保險:796封電子郵件
這些結果偏向我們的客戶群。但是,這些數據表明中國和美國是大多數MyDoom電子郵件的來源國亦是排名最高的重點目標國家。
MyDoom的特徵
MyDoom發行版已有多年的類似特徵。在20192月,Cylance分析了一個MyDoom樣本,現今的MyDoom樣本遵循類似的特徵。發送MyDoom的電子郵件時常被偽裝成報告稱電子郵件未成功發送,其中主旨為:
Ÿ   傳送失敗
Ÿ   關於您電子郵件的傳送報告
Ÿ   郵件系統錯誤 – 退回郵件
Ÿ   可能無法發送消息
Ÿ   退回郵件:數據格式錯誤
Ÿ   退回郵件:詳見文字報告
但是,我們還經常在郵件主題中看到夾帶隨機字母的MyDoom電子郵件。 MyDoom電子郵件還使用其他主旨,如:
Ÿ  再次點擊我,寶貝
Ÿ  你好
Ÿ  嗨
Ÿ  對我的朋友說嗨

這些MyDoom電子郵件的附件是可執行檔,或者是包含可執行檔的zip存檔。 MyDoom惡意軟體將受感染的Windows主機變為惡意設備,然後將MyDoom電子郵件發送到各種電子郵件位址。即使受感染的Windows主機沒有郵件客戶端,也會發生這種情況。MyDoom的另一個特徵是嘗試通過TCP1042連接IP位址。
一個有Windows 7的主機,MyDoom在用戶的AppData \ Local \ Temp目錄中製作了自己的副本lsass.exe,但惡意軟體在Windows註冊表中沒有持久化 一個具有Windows XP的主機,MyDoom可執行檔在C\ Windows \ lsass.exe中自行複製,並通過HKEY_LOCAL_MACHINE配置單元中的Windows註冊表保持持久性,並在SOFTWARE \Microsoft \ Windows \ CurrentVersion \ Run中使用名為Traybar的密鑰 如圖13所示。

結論
MyDoom雖然在2004年首次出現,但是今天仍然活躍,也證明了它最初的破壞性。多年以來除了看到許多的基礎設施被感染,Palo Alto Networks持續觀察MyDoom在現今的威脅領域裡,雖然惡意軟體電子郵件包含MyDoom的總數減少,但此惡意軟體仍然存在。
根據我們的數據,MyDoom感染的基礎設施位於中國的IP位址,而美國則排在第二位。中國和美國都是MyDoom電子郵件的主要接收者,而發送仍然是全球性的,並且針對許多其他國家。高科技是最大的目標行業。
Palo Alto Networks的客戶可藉由輕鬆移除惡意軟體的威脅,並且預防平臺受到威脅而受到保護。AutoFocus用戶可以使用MyDoom標記來追蹤MyDoom攻擊。
妥協的指標
MyDoom EXE樣品從20197月開始
1b46afe1779e897e6b9f3714e9276ccb7a4cef6865eb6a4172f0dd1ce1a46b4248cf912217c1b5ef59063c7bdb93b54b9a91bb6920b63a461f8ac7fcff43e20550dfd9af6953fd1eba41ee694fe26782ad4c2d2294030af2d48efcbcbfe09e116a9c46d96f001a1a3cc47d166d6c0aabc26a5cf25610cef51d2b834526c6b5969e4c6410ab9eda9a3d3cbf23c58215f3bc8d3e66ad55e40b4e30eb785e191bf8

您需要登錄後才可以回帖 登錄 | 註冊

本版積分規則

手機版|聯絡站長|重灌狂人|狂人論壇

GMT+8, 2024-3-29 13:17

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回復 返回頂部 返回列表