國家計算機病毒應(yīng)急處理中心通過對互聯(lián)網(wǎng)的監(jiān)測,發(fā)現(xiàn)名為“Novter”的新型僵尸網(wǎng)絡(luò),該僵尸網(wǎng)絡(luò)采用無文件技術(shù),隱蔽性較強,主要通過廣告流量欺詐獲利。其傳播攻擊活動起始于2019年3月,主要受害者分布在美國和歐洲地區(qū),并仍然在不斷向更多地區(qū)傳播擴散。經(jīng)溯源分析,該僵尸網(wǎng)絡(luò)可能是由KovCoreG僵尸網(wǎng)絡(luò)的運營者開發(fā)和運營的。
攻擊者主要利用釣魚網(wǎng)站,以Adobe Flash播放器安裝包為誘餌,利用社會工程學欺騙用戶下載安裝。用戶下載惡意安裝包后,會下載執(zhí)行惡意HTA程序,進而從遠程服務(wù)器下載被加密處理的惡意的PowerShell腳本代碼(基于開源項目“Invoke-PSInject”)。該惡意腳本能夠利用CMSTPLUA COM接口繞過Windows UAC保護機制,并關(guān)閉Windows Defender防護軟件和Windows Update更新程序。同時,該惡意腳本還會在內(nèi)存中釋放執(zhí)行Novter后門程序,能夠根據(jù)攻擊者的指令實現(xiàn)進程操作、文件操作、自更新等惡意功能,并具有較強的對抗沙箱等自動化分析能力。Novter采用了模塊化結(jié)構(gòu),具有三個主要的功能模塊,功能分別如下: (1)顯示虛假的技術(shù)支持頁面以欺騙受害用戶; (2)濫用WinDivert網(wǎng)絡(luò)數(shù)據(jù)包分析工具,攔截殺毒軟件的網(wǎng)絡(luò)通信; (3)使用NodeJS和io模塊開發(fā)的代理服務(wù)器模塊“Nodster”,實現(xiàn)代理服務(wù)器網(wǎng)絡(luò),為實施流量欺詐創(chuàng)造條件。
值得注意的是,攻擊者為了掩蓋其流量欺詐行為,故意將產(chǎn)生虛假網(wǎng)絡(luò)點擊的客戶端偽造成Android設(shè)備,以干擾檢測和分析。