国家计算机病毒应急处理中心通过对互联网的监测,发现名为“Novter”的新型僵尸网络,该僵尸网络采用无文件技术,隐蔽性较强,主要通过广告流量欺诈获利。其传播攻击活动起始于2019年3月,主要受害者分布在美国和欧洲地区,并仍然在不断向更多地区传播扩散。经溯源分析,该僵尸网络可能是由KovCoreG僵尸网络的运营者开发和运营的。
攻击者主要利用钓鱼网站,以Adobe Flash播放器安装包为诱饵,利用社会工程学欺骗用户下载安装。用户下载恶意安装包后,会下载执行恶意HTA程序,进而从远程服务器下载被加密处理的恶意的PowerShell脚本代码(基于开源项目“Invoke-PSInject”)。该恶意脚本能够利用CMSTPLUA COM接口绕过Windows UAC保护机制,并关闭Windows Defender防护软件和Windows Update更新程序。同时,该恶意脚本还会在内存中释放执行Novter后门程序,能够根据攻击者的指令实现进程操作、文件操作、自更新等恶意功能,并具有较强的对抗沙箱等自动化分析能力。Novter采用了模块化结构,具有三个主要的功能模块,功能分别如下: (1)显示虚假的技术支持页面以欺骗受害用户; (2)滥用WinDivert网络数据包分析工具,拦截杀毒软件的网络通信; (3)使用NodeJS和io模块开发的代理服务器模块“Nodster”,实现代理服务器网络,为实施流量欺诈创造条件。
值得注意的是,攻击者为了掩盖其流量欺诈行为,故意将产生虚假网络点击的客户端伪造成Android设备,以干扰检测和分析。