退出长者模式
病毒预报 第八百一十一期
发布日期:2021-01-08

国家计算机病毒应急处理中心通过对互联网的监测,发现名为“Novter”的新型僵尸网络,该僵尸网络采用无文件技术,隐蔽性较强,主要通过广告流量欺诈获利。其传播攻击活动起始于2019年3月,主要受害者分布在美国和欧洲地区,并仍然在不断向更多地区传播扩散。经溯源分析,该僵尸网络可能是由KovCoreG僵尸网络的运营者开发和运营的。

攻击者主要利用钓鱼网站,以Adobe Flash播放器安装包为诱饵,利用社会工程学欺骗用户下载安装。用户下载恶意安装包后,会下载执行恶意HTA程序,进而从远程服务器下载被加密处理的恶意的PowerShell脚本代码(基于开源项目“Invoke-PSInject”)。该恶意脚本能够利用CMSTPLUA COM接口绕过Windows UAC保护机制,并关闭Windows Defender防护软件和Windows Update更新程序。同时,该恶意脚本还会在内存中释放执行Novter后门程序,能够根据攻击者的指令实现进程操作、文件操作、自更新等恶意功能,并具有较强的对抗沙箱等自动化分析能力。Novter采用了模块化结构,具有三个主要的功能模块,功能分别如下:(1)显示虚假的技术支持页面以欺骗受害用户;(2)滥用WinDivert网络数据包分析工具,拦截杀毒软件的网络通信;(3)使用NodeJS和io模块开发的代理服务器模块“Nodster”,实现代理服务器网络,为实施流量欺诈创造条件。

值得注意的是,攻击者为了掩盖其流量欺诈行为,故意将产生虚假网络点击的客户端伪造成Android设备,以干扰检测和分析。


 

主办单位:常州市公安局

地址:江苏省常州市龙锦路1588号

电话:0519-86620200   网站地图

技术支持电话:0519-85685023(工作日9:00-17:00)

网站支持IPV6   推荐使用1024*768或以上分辨率,并使用IE9.0或以上版本浏览器

苏公网安备32041102000483号

  网站标识码:3204000065

苏ICP备05003616号