MyDoom 2019年依然活躍 台灣受到威脅全球第三

Aug 16, 2019
2 minutes
... views

This post is also available in: 简体中文 (簡體中文)

MyDoom是一種惡名昭彰的電腦蠕蟲病毒,最早於2004年初被發現。這種惡意軟體已成為最具破壞性的電腦病毒,估計損失達380億美元(台幣1兆1千4百萬元)。儘管現在已經過了它的全盛時期,MyDoom仍繼續存在於網路威脅領域。例如,就在2017年,Palo Alto Networks特別在雙月度威脅報告中紀錄MyDoom在EMEA(中東和非洲)地區的活動。

MyDoom在過去幾年相對來說保持著一致性,平均大概1.1%的電子郵件中會發現惡意軟體附件。我們每個月都會持續紀錄成千上萬的MyDoom樣本。絕大多數MyDoom電子郵件位址來自中國,而美國則排在第二位。這些電子郵件被發送到全世界,主要針對高科技,批發和零售,醫療保健,教育和製造業。

這篇部落格文章近年來追蹤MyDoom,並關注2019年前六個月的趨勢。

MyDoom活動:2015年至2018年

雖然沒有其他惡意軟體系列那麼突出,但近年來我們發現前後表現一致的MyDoom樣本。MyDoom的傳播方法是透過電子郵件使用SMTP。我們將包含MyDoom附件的電子郵件與包含其他惡意軟體附件的電子郵件進行比較。從2015年至2018年的四年期間,平均每1.1%的惡意電子郵件中包含MyDoom。在同一時期查看各個單一惡意軟體樣本時,MyDoom平均佔所有惡意軟體也高達21.4%。

為什麼MyDoom電子郵件的百分比遠低於MyDoom附件的百分比? 因為許多惡意電子郵件,都會透過活動訊息挾帶相同的惡意樣本給成千上萬的收件人。 MyDoom是多態性的,這會導致在我們發現的每封電子郵件中有著不同的散列檔案。因此,雖然電子郵件的數量相對較少,但與通過電子郵件散播的其他惡意軟體相比,樣本數量相對較高。表1包含2015年至2018年的統計數據。

年份 MyDoom 電子郵件 包含惡意軟體的電子郵件總數 MyDoom電子郵件的百分比 MyDoom樣本 惡意軟體總樣本 MyDoom樣本的百分比
2015 574,674 27,599,631 2.1% 87,119 615,386 14.2%
2016 589,107 77,575,376 0.8% 142,659 960,517 14.9%
2017 309,978 79,599,864 0.4% 95,115 340,433 27.9%
2018 663,212 64,919,295 1.0% 150,075 528,306 28.4%

1. 2015年至2018年的MyDoom統計數據。

2015包含惡意軟體的電子郵件總數     2015惡意軟體樣本

圖1. 2015年MyDoom活躍程度。

2016包含惡意軟體的電子郵件總數     2016惡意軟體樣本

圖2. 2016年MyDoom活躍程度。

2017包含惡意軟體的電子郵件總數      2017惡意軟體樣本

圖3. 2017年MyDoom活躍程度。

2018包含惡意軟體的電子郵件總數      2018惡意軟體樣本

圖4. 2018年MyDoom活躍程度。

MyDoom活動:2019年

與2018整年相比,MyDoom在2019年前六個月的活動顯示出相似的平均值,電子郵件和惡意軟體樣本的比例略高。詳細資訊請參見表2。

年份 MyDoom 電子郵件 包含惡意軟體的電子郵件總數 MyDoom電子郵件的百分比 MyDoom樣本 惡意軟體總樣本 MyDoom樣本的百分比
1月至6

2019

465,896 41,002,585 1.1% 92,932 302,820 30.1%

表2. 2019年前六個月的MyDoom統計數據。

 

       2019  1月至6               2019  1月至6
包含惡意軟體的電子郵件總數           惡意軟體樣本

圖5. 2019年前六個月的MyDoom活躍程度。

574 MyDoom樣本出現超過一個月,因此下表3中的MyDoom惡意軟體樣本總數與上表中六個月內MyDoom樣本總數不同。

月份 MyDoom 電子郵件 MyDoom惡意軟體樣本
2019/1月 54,371 14,441
2019 /2月 47,748 11,566
2019/3月 80,537 18,789
2019/4月 92,049 17,278
2019 /5月 113,037 15,586
2019/6月 78,154 15,846

表3. 2019年前六個月的MyDoom月度統計數據。

 

推送MyDoom的電子郵件數量

            2019/1   2019/2   2019/3   2019/4   2019/5   2019 6

       圖6.繪製2019年1月至6月MyDoom活動的圖表。

這些電子郵件來自哪裡? 我們在2019年前六個月看到的十大國家的位址是:

  • 中國:349,454封電子郵件
  • 美國:18,590封電子郵件
  • 英國:10,151封電子郵件
  • 越南:4,426封電子郵件
  • 南韓:2,575封電子郵件
  • 西班牙:2,154封電子郵件
  • 俄羅斯:1,007封電子郵件
  • 印度:657封電子郵件
  • 台灣:536封電子郵件
  • 哈薩克:388封電子郵件

圖7. 2019年前六個月MyDoom電子郵件出現的國家/地區。

目標國家比來源國更加多樣化和均勻分佈。十大目標國家是:

  • 中國:72,713封電子郵件
  • 美國:56,135封電子郵件
  • 台灣:5,628封電子郵件
  • 德國:5,503封電子郵件
  • 日本:5,105封電子郵件
  • 新加坡:3,097封電子郵件
  • 南韓:1,892封電子郵件
  • 羅馬尼亞:1,651封電子郵件
  • 澳洲:1,295封電子郵件
  • 英國:1,187封電子郵件

圖8. 2019年前六個月MyDoom發送電子郵件的目標國家。

在此期間,前十大垂直行業是:

  • 高科技:212,641封電子郵件
  • 批發和零售:84,996封電子郵件
  • 醫療保健:49,782封電子郵件
  • 教育:37,961封電子郵件
  • 製造業:32,429封電子郵件
  • 專業和法律服務:19,401封電子郵件
  • 電信:4,125封電子郵件
  • 財務:2,259封電子郵件
  • 運輸和物流:1,595封電子郵件
  • 保險:796封電子郵件

這些結果偏向我們的客戶群。但是,這些數據表明中國和美國是大多數MyDoom電子郵件的來源國亦是排名最高的重點目標國家。

MyDoom的特徵

MyDoom發行版已有多年的類似特徵。在2019年2月,Cylance分析了一個MyDoom樣本,現今的MyDoom樣本遵循類似的特徵。發送MyDoom的電子郵件時常被偽裝成報告稱電子郵件未成功發送,其中主旨為:

  • 傳送失敗
  • 關於您電子郵件的傳送報告
  • 郵件系統錯誤 – 退回郵件
  • 可能無法發送消息
  • 退回郵件:數據格式錯誤
  • 退回郵件:詳見文字報告

 

但是,我們還經常在郵件主題中看到夾帶隨機字母的MyDoom電子郵件。 MyDoom電子郵件還使用其他主旨,如:

  • 再次點擊我,寶貝
  • 你好
  • 對我的朋友說嗨

圖9、10和11顯示了2019年7月MyDoom電子郵件樣本的螢幕截圖。

圖9. 2019年7月發布的MyDoom電子郵件範例(1/3)。

圖10. 2019年7月發布的MyDoom電子郵件範例(2/3)。

圖11. 2019年7月發布的MyDoom電子郵件範例(3/3)。

這些MyDoom電子郵件的附件是可執行檔,或者是包含可執行檔的zip存檔。 MyDoom惡意軟體將受感染的Windows主機變為惡意設備,然後將MyDoom電子郵件發送到各種電子郵件位址。即使受感染的Windows主機沒有郵件客戶端,也會發生這種情況。MyDoom的另一個特徵是嘗試通過TCP埠1042連接IP位址。

圖12. 2019年7月15日來自感染MyDoom的主機的電子郵件流量。

圖13.通過TCP埠1042從感染MyDoom的主機嘗試連接。

一個有Windows 7的主機,MyDoom在用戶的AppData \ Local \ Temp目錄中製作了自己的副本lsass.exe,但惡意軟體在Windows註冊表中沒有持久化 一個具有Windows XP的主機,MyDoom可執行檔在C:\ Windows \ lsass.exe中自行複製,並通過HKEY_LOCAL_MACHINE配置單元中的Windows註冊表保持持久性,並在SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run中使用名為Traybar的密鑰 如圖13所示。

圖14. MyDoom在Windows XP主機上持久存在。

結論

MyDoom雖然在2004年首次出現,但是今天仍然活躍,也證明了它最初的破壞性。多年以來除了看到許多的基礎設施被感染,Palo Alto Networks持續觀察MyDoom在現今的威脅領域裡,雖然惡意軟體電子郵件包含MyDoom的總數減少,但此惡意軟體仍然存在。

根據我們的數據,MyDoom感染的基礎設施位於中國的IP位址,而美國則排在第二位。中國和美國都是MyDoom電子郵件的主要接收者,而發送仍然是全球性的,並且針對許多其他國家。高科技是最大的目標行業。

Palo Alto Networks的客戶可藉由輕鬆移除惡意軟體的威脅,並且預防平臺受到威脅而受到保護。AutoFocus用戶可以使用MyDoom標記來追蹤MyDoom攻擊。

妥協的指標

MyDoom EXE樣品從20197月開始

1b46afe1779e897e6b9f3714e9276ccb7a4cef6865eb6a4172f0dd1ce1a46b42

48cf912217c1b5ef59063c7bdb93b54b9a91bb6920b63a461f8ac7fcff43e205

50dfd9af6953fd1eba41ee694fe26782ad4c2d2294030af2d48efcbcbfe09e11

6a9c46d96f001a1a3cc47d166d6c0aabc26a5cf25610cef51d2b834526c6b596

9e4c6410ab9eda9a3d3cbf23c58215f3bc8d3e66ad55e40b4e30eb785e191bf8


Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.