腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

申博_安全防护 申博 124次浏览 未收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

一、概述

2018年至今,国内前后有多家平安厂商离别发明幽虫、独狼、双枪、紫狐、贪狼等多个病毒木马家属,这些木马应用盗版Ghost系统、激活破解东西、热点游戏外挂等渠道流传,在用户电脑上装置Rootkit后门,经由过程多种盛行的黑色家当变现取利:包罗,云端掌握下载更多木马、强迫装置互联网软件、改动锁定用户浏览器、刷量、挖矿等等。

自降生以来,这个超大的病毒团伙和国内浩瀚杀毒厂商斗智斗勇,一个团伙在平安软件团结袭击下消弱,很快就有一个新的团伙取而代之。

腾讯平安御见要挟情报中心经由过程多个维度剖析幽虫、独狼、双枪、紫狐、贪狼等病毒木马的手艺特性、病毒代码的同源性剖析、C2服务器注册、托管等线索综合剖析,终究推断这5个影响卑劣的病毒团伙背地是由统一个立功构造操控。

该病毒团伙在2018年7-8月为活泼岑岭,事先被沾染的电脑在3000万-4000万台之间。以后,该病毒的流传有所收敛,在2018年8-11月沾染量下降到1000万-2000万之间。至今,被该病毒团伙掌握的电脑仍在200-300万台。

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

图 1 流传趋向

该病毒团伙的受益者散布在全国各地,个中广东、山东、江苏受益最为严峻。该病毒团伙受益者地区散布以下图所示:

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

图 2 地区散布

腾讯平安专家终究依托腾讯安图高等要挟追溯系统,将多个伤害严峻的病毒家属联络干系为一个大团伙,让人们更清楚的感知到收集病毒黑产范围之重大,系统之成熟。

二、超大病毒团伙的发明

腾讯平安专家经由过程例行的智能剖析系统查询发明,双枪、紫狐、幽虫和独狼系列木马都被聚类到统一个自动家属T-F-8656。(注:病毒家属智能剖析系统是腾讯平安大数据平台的子系统,由腾讯平安御见要挟情报中心自立研发,集要挟发明、要挟剖析、申报输出及可视化展现等才能于一身的高等要挟剖析系统。自动家属是经由过程机械进修算法聚类取得的可疑木马家属,不必人工干预,系统可自动将存在联络干系干系的病毒家属聚类到一同。)

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

图 4 智能剖析系统

应用智能剖析系统从自动家属T-F-8656中筛选出局部症结节点,并运用3D形式举行可视化展现,发明幽虫、独狼、双枪、紫狐和联络干系到的盗号、歹意推装木马之间联络异常严密,但又井井有条,这一构造就像有人特地设想的构造。

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

图 5 T-F-8656家属3D可视化展现

进一步将上图中涉及到的一切信息举行剖析整顿,能够发明,幽虫和独狼木马经由过程盗版GHOST系统、系统激活东西、游戏外挂等多种渠道举行流传,卖力在受益者系统中装置Rootkit,并将本身举行耐久化(经由过程装置木马长时候掌握目的系统,业内俗称“耐久化”),然后再经由过程下载者木马投递双枪、紫狐、盗号木马等多种歹意程序,同时还在中毒电脑上推行装置多个软件、弹出告白或刷量。各个木马家属之间分工明白,环环相扣,构成了一个完全的家当链。

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

图 6 幽虫、独狼、双枪、紫狐等木马构成的家当链

三、溯源剖析

不仅如此,以上这些木马另有更深切的联络,证实这些流传普遍的木马背地实属一个收集立功团伙掌握。

1、幽虫 == 独狼系列

其他平安厂商表露的幽虫木马,实为御见要挟情报中心屡次报导的独狼系列木马,为包管效果的可靠性,下面我们从分歧的维度对此举行交织考证。

(1)进击手段

在幽虫和独狼2的剖析申报中都有提到,独狼2和幽虫木马均经由过程假装的系统激活东西举行流传,应用到的手艺手段和终究的赢利体式格局都一模一样,同时受益用户中招以后,受益主机系统信息都被上传至统一C2域名www.tj678.top。

表 1 幽虫、独狼2基础信息对照:

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

(2)驱动代码类似同源

独狼木马和幽虫木马的驱动代码类似度极高,以下图所示:

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

图 7 独狼驱动局部代码

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

图 8 幽虫驱动局部代码

以下图所示,对照独狼木马和幽虫木马驱动的症结函数代码流程图,发明它们的团体流程基础一致,能够肯定它们属于统一木马家属。

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

图 9 症结函数代码流程

(3)pdb称号

经由过程腾讯安图高等要挟追溯系统举行查询,能够看到,幽虫木马和独狼1木马的pdb称号完全一致。

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

图 10  幽虫木马pdb称号

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

图 11 独狼木马pdb称号

(4)样本署名

高级域渗透技术之再谈Kerberoast攻击

Rebeus是一个用C#编写Kerberos 滥用工具包,最初是由@gentilkiwi 编写的 Kekeo 工具包中的一个端口,这个工具包从那时起就在不断发展。要了解更多关于 Rubeus 的信息,请查看”从 Kekeo 到 Rubeus”这篇文章后续的”Rubeus ——Now With More keo”或最近修订的 Rubeus README.md。 我最近对 Rubeus 做了一些改进,其中包括重新审查了它的 kerberos 实现。 这导致了对 Rubeus 的 Kerberoast 方法的一些修改,也解释了我们之前在这个领域看到的一些”奇怪”的行为。 由于 kerberos 是一种如此常用的技术,现在我们已经对它的细微差别有了更好的理

幽虫木马和独狼木马的局部样本数字署名以下表所示,可见它们重复盗用雷同的数字署名。

表 2 幽虫、独狼木马署名对照:

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑 

综上所述,幽虫木马和独狼木马实在属于统一个木马家属,并出自统一作者之手的能够性极大。

2、一根绳索上的蚂蚱

前面已给出了充足的证实透露表现,幽虫木马和独狼木马属于统一个木马家属,并且出自统一作者之手。那末双枪、紫狐、贪狼是不是也与该作者存在更深条理的联络呢?

为了资助人人理清思绪,起首,整顿出各个木马家属的基础信息。

表 3 各木马家属基础信息:

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

由上表可见,这几个木马在流传渠道、手艺手段、歹意行动上类似而又不尽雷同,没法简朴地推断它们是不是是统一作者所为。

接着,再遴选各个木马家属的局部代表性样本,并提取它们的署名信息,以下表所示:

表 4 各木马家属署名信息:

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

幽虫&独狼与双枪木马运用的大局部署名是一样的,贪狼则运用不一样的署名信息。从盗用的署名上看,幽虫&独狼和双枪木马存在着很大的猫腻,而贪狼则貌似很“明净“。

友商曾于2018年10月份表露过,经由过程对照”贪狼“和多个版本的”双枪“的pdb,能够发明“双枪“中举行流量挟制的模块”AppManage.dll“与”贪狼“中完成雷同功用的模块”AppManage.dll“出自统一木马作者之手,以下图所示,它们的pdb称号极为类似,并且频仍涌现”ppzos“和”ivipm“字眼。

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

图12 双枪、贪狼pdb对照

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

图 13 双枪、贪狼pdb对照

而进一步经由过程腾讯安图高等要挟追溯系统举行联络干系发明,ppzos.com和ivipm.com的多个子域名均为双枪的C2,并且都在2018年8月~9月之间剖析到了统一个ip地点103.35.72.205。

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

图14 双枪C2

别的,在差不多的时候节点,ppzos.com,ivipm.com等子域名又与贵阳市海云世纪科技有限公司的多个站点剖析到统一个ip地点121.42.43.112。

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

图 15 双枪C2

贵阳市海云世纪科技有限公司曾经由过程其公司官网www.qhaiyun.com应用高兴输入法等产物流传双枪木马,而该公司的产物点点输入法装置包的pdb称号与双枪、贪狼pdb称号高度类似,工程项目的父目次都在”E:\Code\Ivipm\source”和”E:\Code\ppzos\source”之下。

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

图 16 高兴输入法pdb

表 5双枪、贪狼、高兴输入法pdb对照:

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

能够更进一步地证实,双枪和贪狼确切出自统一作者之手,该病毒作者与贵阳市海云世纪科技有限公司之间的存在相关性。

经由过程“天眼查”检索发明该公司现在已被注销。

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

图 17 贵阳市海云世纪科技有限公司注册信息

而该公司旗下的多个站点已酿成博彩网站,这能够意味着病毒作者在取得丰盛收益以后,临时转行避风,以回避网安机构的查处。

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

图 18 官网变博彩站点

综上,能够肯定幽虫&独狼、双枪、紫狐和贪狼木马实在出自统一团伙(作者)。为了轻易回忆,将该团伙运用的各个木马家属之间的干系运用韦恩图整顿以下:

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

图21

该团伙的家当链整顿以下图所示:

腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑

图22

四、解决方案

1. 发起网民运用正轨软件,只管不要下载运转各种外挂辅助东西,外挂和游戏辅助东西是病毒木马、违规软件流传的主要渠道之一。

2. 险些一切外挂网站都邑引诱、诳骗游戏玩家退出或封闭杀毒软件后再运转外挂。一旦照办,杀毒软件有很高的几率被隐蔽在外挂中的病毒木马损坏,从而令电脑落空平安防护才能。

3. 激活东西、Ghost镜像向来都是Rootkit病毒流传的主要渠道,“独狼”Rootkit系列病毒具有隐蔽性强,重复沾染,难查杀的特性。发起用户运用正版操作系统,若是杀毒软件申报发明激活破解补丁带毒,发起停止运用。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明腾讯平安揪出年度最大病毒团伙,岑岭时掌握近4000万台电脑
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址