國家計算機病毒應(yīng)急處理中心通過對互聯(lián)網(wǎng)的監(jiān)測,發(fā)現(xiàn)名為“Novter”的新型僵尸網(wǎng)絡(luò)�,該僵尸網(wǎng)絡(luò)采用無文件技術(shù),隱蔽性較強����,主要通過廣告流量欺詐獲利。其傳播攻擊活動起始于2019年3月����,主要受害者分布在美國和歐洲地區(qū)��,并仍然在不斷向更多地區(qū)傳播擴散���。經(jīng)溯源分析,該僵尸網(wǎng)絡(luò)可能是由KovCoreG僵尸網(wǎng)絡(luò)的運營者開發(fā)和運營的���。
攻擊者主要利用釣魚網(wǎng)站,以Adobe Flash播放器安裝包為誘餌�,利用社會工程學欺騙用戶下載安裝。用戶下載惡意安裝包后�����,會下載執(zhí)行惡意HTA程序���,進而從遠程服務(wù)器下載被加密處理的惡意的PowerShell腳本代碼(基于開源項目“Invoke-PSInject”)��。該惡意腳本能夠利用CMSTPLUA COM接口繞過Windows UAC保護機制�,并關(guān)閉Windows Defender防護軟件和Windows Update更新程序�����。同時,該惡意腳本還會在內(nèi)存中釋放執(zhí)行Novter后門程序�����,能夠根據(jù)攻擊者的指令實現(xiàn)進程操作�、文件操作、自更新等惡意功能����,并具有較強的對抗沙箱等自動化分析能力。Novter采用了模塊化結(jié)構(gòu)���,具有三個主要的功能模塊����,功能分別如下: (1)顯示虛假的技術(shù)支持頁面以欺騙受害用戶���; (2)濫用WinDivert網(wǎng)絡(luò)數(shù)據(jù)包分析工具����,攔截殺毒軟件的網(wǎng)絡(luò)通信�; (3)使用NodeJS和io模塊開發(fā)的代理服務(wù)器模塊“Nodster”,實現(xiàn)代理服務(wù)器網(wǎng)絡(luò)�,為實施流量欺詐創(chuàng)造條件�。
值得注意的是��,攻擊者為了掩蓋其流量欺詐行為���,故意將產(chǎn)生虛假網(wǎng)絡(luò)點擊的客戶端偽造成Android設(shè)備�����,以干擾檢測和分析���。