加强入境管控、推迟开工开学……同心抗疫澳门在行动

同心抗疫 澳门在行动

澳门特区政府在拱北口岸加强体温检测。(图片来自澳门特区政府网站)

为加强疫情防控,澳门与珠海建立了两地疫情防控信息沟通机制。澳门特区政府卫生局和珠海市卫生健康局经协商达成共识,在关口实施“双保障”“双向测温”,禁止发烧人士进出澳门或珠海,避免有患者来往两地。定时每日沟通两地疫情及病例实况,保持密切联系。

这些僵尸大军,少则有几千台设备,多则达到数百万台设备,这也就很容易理解为什么安全公司总在想办法摧毁他们了。

攻击者可通过运行算法生成 DGA 域名,然后随机选择其中的少量域名进行注册,并将域名绑定到 C&C服务器。受害者的机器被植入恶意程序后运行 DGA 算法生成域名,并检测域名是否可以连接,如果不能连接就尝试下一个域名,如果可以连接就选取该域名作为该恶意程序的控制端服务器域名,而这一切到了僵尸网络手里,你的电脑就会瘫痪,后果不可谓不严重。

不过,现在还有一点担心是,互联网世界里的僵尸有可能是打不尽的。

2018 年 5 月下旬,研究人员发现了一些 Necurs 模块,这些模块不但泄露了电子邮件帐户信息并将它们发送到 hxxp://185[.]176[.]221[.]24/l/s[.]php 。如果有人安装并登录到 Outlook,Outlook 就会创建一个目录 “ %AppData%\Roaming\Microsoft\Outlook\ ”,该目录将会存储文件名中带有电子邮件字符串的凭证。接着,该模块将在文件名中搜索带有电子邮件字符串的文件,然后将这些字符串返回。

简单的说,僵尸网络指的是那些利用恶意代码控制互联网上的设备,让他们像僵尸一样失去了原本的“意识”,这些僵尸网络在 C2 端(也就是控制者)的命令下统一行动,就组成了僵尸网络。僵尸网络的一个重要作用就是进行 DDoS 攻击,也就是发动这些硬件对特定服务器同时发起访问,造成对方网络瘫痪,无法正常运行。

澳门高校则从学术和技术层面给抗疫提供助力。澳门大学1月31日公布的最新研究成果显示,确诊患者和疑似病例由于担心新型冠状病毒造成的严重后果,可能会感到无助、孤独、愤怒,甚至出现拒绝治疗、暴力等行为;而在临床一线奋战的医护人员,往往面临更大的感染风险以及更多的心理困扰。

而在僵尸网络的世界里,还盛行着一条“弱肉强食”的法则,谁手上控制的壮丁最多,谁就拥有最强大的“部队”,可以在网络世界里肆意杀伐,攻城略地。

贺一诚此前在疫情通报记者会上宣布,任何人有发烧症状,不得离境。他表示:“目前珠海市政府保证发烧人士不输入澳门,出入境都要监控,对澳门来说,同样要做好这件事,不能把疫情带到珠海。”

防疫如救火,快速反应必不可少。1月20日内地专家证实新型冠状病毒有人传人风险,21日澳门特区政府即设立新型冠状病毒感染应变协调中心。1月22日,应变协调中心在特区政府总部召开新闻发布会,确诊澳门首例新型冠状病毒感染的肺炎病例,患者为一名来自武汉的旅客。

虽然还没有复课,澳门的学校配合整体防疫工作,对校内设施加强清洁及消毒。(图片来自澳门特区政府网站)

雷锋网了解到, 2015 年 10 月,一次包含 FBI 和 NCA 在内的国际联合行动摧毁了 Necurs 僵尸网络,但是很快它又复活了,之后就主要用于传播 Locky 勒索软件。此后,在安全人员的控制下,Necurs 僵尸网络  虽然有所“收敛”,但每隔一段时间似乎都有新的迭代版本出现。

澳门特区政府新型冠状病毒感染应变协调中心1月28日宣布,再次推迟幼儿园、小学和中学等非高等教育学校开学时间,最迟将在2月第一个星期公布有关详情。之前,澳门非高等教育学校开学时间推迟到2月10日或之后。

值得一提的是,这一行动微软策划了八年。

2018 年 4 月,研究人员观察到它将远程访问木马 FlawedAmmyy 加入其功能模块中。FlawedAmmyy是通过合法的远程访问工具 Ammyy Admin 进行木马化的,与远程桌面工具一样,FlawedAmmyy 具有Ammyy Admin 的功能,包括远程桌面控制,文件系统管理,代理支持和音频聊天功能,Necurs 通过C&C 命令加入不同的模块,窃取并发回用户的信息,其中包括与设备相关的信息,比如计算机名称、用户 ID、操作系统信息、所安装的杀毒软件信息甚至恶意软件构建时间、智能卡是否连接等。

事实上,打击僵尸网络这件事是个持久战,安全人员也一直在为此做努力,但无奈的是,僵尸网络总是会再次卷土重来。

Necurs 僵尸网络于 2012 年首次被发现,它由几百万台受感染的设备组成,一直致力于分发银行恶意软件、加密劫持恶意软件、勒索软件以及每次运行时发送给数百万收件人的各种电子邮件进行诈骗。在过去 八年里,Necurs 僵尸网络已经发展成为全球最大的垃圾邮件传播组织。

2018 年 6月,研究人员看到 Necurs 推出一个 .NET 垃圾邮件模块,该模块能够发送电子邮件并窃取来自 Internet Explorer,Chrome 和 Firefox 的登录凭据,此 .NET 垃圾邮件模块的某些功能部分与其中一个开源远程访问工具重叠。

澳门的现金“派糖”计划也因疫情而提早实施。澳门特区政府宣布,原定于今年7月至9月实施的澳门居民现金分享计划将提前至今年4月开始。

保持充足的卫生物资供应对防疫至关重要。澳门特区政府网站公布,首轮保障口罩供应澳门市民计划至2月2日已售出超过500万个口罩;正展开的第二轮计划也备有充足数量的口罩供市民购买。澳门特区经济财政司司长李伟农表示,政府相关团队正积极向外采购更多口罩,到2月13日前,还将有400万个口罩运抵澳门。

再来看下微软此次摧毁的 Necurs 僵尸网络。

微软说:“在 58 天的调查中,我们观察到一台感染 Necurs 的计算机发送了总共 380 万封垃圾邮件,潜在的受害者多达 4060 万。”

考虑到疫情将对经济民生造成影响,澳门特区政府推出了免租金等福利措施。李伟农表示,自2月1日起,政府拥有的出租物业,例如购物中心、服务亭、餐厅等,免去租金3个月,帮助中小企业共度时艰。他说,近日已与澳门中华总商会、中小企业和地产企业沟通,呼吁经营者调整租金,体恤中小企业。

2月3日,澳门大学组成一支9人的心理辅导专业团队,配合澳门特区政府为相关人士提供心理支持服务,全力打赢这场战“疫”。

据外媒报道,此次微软能够破获 Necurs 僵尸网络得益于 35 个国家/地区的国际警察和私人科技公司协调行动的结果。

微软表示:“通过控制现有网站并抑制注册新网站的能力,我们已经大大‘破坏’了僵尸网络。”

应变协调中心同时宣布,将全面测试所有在澳门的湖北省旅客,如无病征可自行返回内地。否则自1月27日上午9时起,对2019年12月1日至2020年1月26日入境澳门未离开的1113名湖北省旅客进行集中统一管理,在隔离中心隔离至签注有效期满或者计划行程到期送离澳门。

然而,Necurs 并不仅仅是一个垃圾邮件程序,它是一个模块化的恶意软件,包含了一个主僵尸网络模块、一个用户级 Rootkit ,并且可以动态加载其它模块。

2017 年,Necurs 开始活跃起来,其在传播 Dridex 和 Locky 勒索软件时被注意到,每小时可向全球计算机发送 500 万封电子邮件。

澳门是旅游城市,七成游客来自内地。澳门特区政府评估认为,无需将所有内地游客拒之门外。澳门特区政府新型冠状病毒感染应变协调中心1月26日宣布,自1月27日零时起,所有来自湖北省和在入境澳门前14天之内曾到湖北省的非澳门居民,须出示由合法医疗机构发出的无感染新型冠状病毒的医生证明书才可入境澳门。

受疫情影响,近期赴澳门游客大幅减少。澳门特区政府旅游局2月1日发布的数据显示,1月24日至30日的春节假期期间,入境澳门旅客(除外地雇员及学生)总量约26万人次,较去年春节七天假期下跌78.3%。今年春节7天假期的入境旅客人数中,来自内地和港台地区的占90.1%。

1月23日,澳门确认出现第二宗新型冠状病毒感染的肺炎病例,澳门特区旅游局当天发出通知,取消一系列新年庆祝活动,包括金龙和花车巡游、烟花汇演等,避免出现交叉感染的情况。

雷锋网原创文章,。详情见转载须知。

Necurs 还会卷土重来吗?

所以,为了更彻底的摧毁 Necurs 僵尸网络,微软联合 35 个国家破解了这一算法,并成功预测了未来 25 个月内该网络可能创建的 600 万个域,通报给全球各地的域名管理机构,预防将来遭到攻击。此外,在法院命令的帮助下,微软还接管了 Necurs 在美国的现有域,获得了对美国基础设施的控制,这些基础设施用于分发恶意软件和感染受害计算机。

贺一诚在2月5日的公开信中说,广大医疗机构人员以及保安部队连日来身处防疫的最前线,经常与确诊患者及疑似病例接触,身心承受着巨大的安全风险和压力。政府承诺将尽最大的努力,优先确保所有医护人员和前线执法人员得到充足、全面的装备防护。

而现在我们尚无法确定微软此次的破坏成效,Necurs 是否还会卷土重来,所以,雷锋网建议大家为避免被僵尸网络攻击,对于不明来源的电子邮件内容要非常小心,同样对于不确定来源的安装程序也要谨慎,要定期运行杀毒软件。

DGA ( Domain Generate Algorithm 域名生成算法)是一种使用时间,字典,硬编码的常量利用一定的算法生成的域名。DGA 生成的域名具有为随机性,用于中心结构的僵尸网络中与 C&C 服务器的连接,以逃避域名黑名单检测的技术。

微软表示,为了捣毁 Necurs ,他们破解了该僵尸网络通过算法生成新域的技术——DGA 。

在谈 Necurs 僵尸网络之前,雷锋网(公众号:雷锋网)先带大家了解下僵尸网络。

一般操作是,恶意僵尸程序在全网进行扫描,一旦发现有漏洞的设备(电脑、硬件等等),就马上入侵控制,把它纳入僵尸大军麾下,再以新的僵尸设备为跳板,继续感染其他设备。这像极了僵尸片中病毒的指数级扩散模式。

2月3日至7日,澳门特区政府各部门领导自行决定维持公共部门的紧急和基本服务的种类和需要上班的公务员人数,其余公务员不用上班,但须留在家中减少外出。应变协调中心呼吁,在内地度假的澳门居民应尽快回到澳门并在家中进行14天的自我隔离,公务人员上班须填写健康申报表。

澳门特区行政长官贺一诚2月5日发出公开信,呼吁全体公务人员继续努力,携手社会各界奋力抗击疫情,争取社会正常生活早日恢复。截至当天下午4点,澳门累计出现10例新型冠状病毒感染的肺炎病例。这个春节,澳门入境游客骤减七成多,但防疫压力依然巨大。为妥善应对疫情,澳门特区政府连日来推出了包括加强入境管控、推迟开工开学、发放社会福利等组合措施。

研究人员在昨日发布的另一份报告中说:“从 2016 年到 2019 年,Necurs 是犯罪分子发送垃圾邮件和恶意软件的最主要方法,利用电子邮件在全球传播恶意软件的 90% 都使用了这种方法。”

微软成功捣毁 Necurs 僵尸网络

全球最大的僵尸网络之一:Necurs 僵尸网络

2月4日,澳门出现两例新型冠状病毒感染的肺炎病例。同一天,澳门特区政府宣布暂停澳门博彩企业和娱乐场所运营。此前,澳门特区政府已限制所有在入境澳门前14天之内曾经到过湖北省的人员进入娱乐场。

根据研究人员发布的最新统计数据,印度、印度尼西亚、土耳其、越南、墨西哥、泰国、伊朗、菲律宾和巴西是受到 Necurs 恶意软件攻击最多的国家。