脚下顽固病毒的第意气风发突显渔利富含锁主页、刷流量、恶意推广等办法,霸天虎与汽车人的恶置之不顾场所组成

人民网深圳4月29日电 4月29日,腾讯安全御见威胁情报中心发布消息称,近日通过对幽虫、独狼、双枪、紫狐、贪狼等多个病毒木马家族进行多维度综合分析,得出结论:这5个病毒家族,背后实际上由同一个黑客组织操控。这意味着一个以锁定浏览器、刷量、挖矿、静默安装软件为主要牟利手段、病毒木马“势力”盘根错节的黑客团伙即将走到尽头。

作为经典科幻影片之一,《变形金刚》广受影迷们的喜爱。影片中,令人印象深刻的除了正义的汽车人小分队,霸天虎军团作为反派同样是声名远扬。

CNII网讯 相信很多网友都曾有过这样的遭遇:电脑中毒后浏览器主页莫名被篡改,时不时会推出各类推广链接,使用杀毒软件无法将其斩草除根,即便格式化重装系统后也会卷土重来,犹如“狗皮膏药”一般赖在电脑中,令中招用户苦不堪言。

据了解,从2018年初至今,国内多家安全厂商曾先后发现幽虫、独狼、双枪、紫狐、贪狼等多个病毒木马家族,这些病毒主要利用盗版Ghost系统、激活破解工具、热门游戏外挂等渠道传播,在用户电脑上安装Rootkit后门,然后通过云端控制下载木马、强制安装互联网软件、篡改锁定用户浏览器、刷量、挖矿等多种主流黑产变现手段牟利,对广大网友的财产及信息安全造成严重威胁。

以威震天为首领,霸天虎与汽车人的恶斗场面组成了《变形金刚》系列的经典片段,并最终被人们铭记脑海。

其实,这类病毒就是顽固病毒家族的一种。该类病毒木马采用刷流量、锁主页、恶意推广、网络攻击、挖矿等变现方式牟利,给用户的信息及财产安全造成严重威胁。在此背景下,腾讯安全详细盘点过去一年各类顽固病毒木马入侵事件,从其获利变现方式、传播渠道、以及对抗技术、典型案例等方面展开,全面剖析Bootkit/Rootkit 病毒家族的主要态势及变化趋势,并为广大企业及个人用户防范顽固病毒木马提供了实用建议。

图片 1

图片 2

顽固病毒“花式”获利 游戏外挂工具成“重灾区”

该病毒木马团伙产业链路说明。

你以为上述场景,仅存在于电影当中?不,其实在网络安全领域类似故事也在上演。

作为2018年最为活跃的病毒木马,顽固病毒木马具备启动早、隐蔽性高、反复感染等显著特点,从而横行网络。值得一提的是,病毒作者从入侵过程中发现系列变现获利之道,一度让普通用户蒙受重大经济损失。

腾讯安全技术专家介绍,自诞生之日起,这个超大的病毒团伙就与国内众多杀毒厂商斗智斗勇,一个团伙在安全软件联合打击下消退,很快就有一个新的团伙取而代之。数据显示,该类病毒在去年七八月最为活跃,日均感染用户高达3000万—4000万,至今仍有超过200万台电脑被其控制。受害者分布全国各地,其中广东、山东、江苏等地区最为严重。

这次的大反派自2018年起,通过幽虫、独狼、双枪、紫狐、贪狼等多个病毒木马家族,利用盗版Ghost系统、激活破解工具、热门游戏外挂等渠道传播,在用户电脑上安装Rootkit后门。

数据显示,目前顽固病毒的主要变现获利包括锁主页、刷流量、恶意推广等方式,占比前三的依次为35%、30%、18%。随着挖矿黑产的兴起,挖矿获利已上升至10%,暗云新变种等Bootkit木马也转投挖矿获利。

在此次事件中,腾讯安全御见威胁情报中心依据腾讯安全大脑能力,对双枪、紫狐、幽虫和独狼系列木马进行深度追踪、研究判断,在掌握不法分子的攻击手段之后,最终被聚类到同一家族T-F-8656。

自诞生以来,这个超大的病毒团伙和国内众多杀毒厂商斗智斗勇,一个团伙被打退,很快就有新的团伙取而代之,其真面目则一直是个谜。

图片 3

腾讯安全大脑从家族T-F-8656中筛选出部分关键节点,并使用3D模式进行可视化展示,发现幽虫、独狼、双枪、紫狐以及关联到的盗号、恶意推装木马之间联系极其紧密,层次清晰。同时,各个木马家族之间分工明确环环相扣,组成了一个完整的黑色产业闭环,像是经过精心设计的结构。

4月29日,腾讯安全发文称终于揪出了这个年度最大的黑产界“霸天虎军团”。

(图:顽固病毒木马主要变现获利方式)

而从作案手法来看,也再次佐证了这一观点。经分析,腾讯安全技术专家发现双枪和贪狼病毒出自同一作者之手,病毒作者疑似与西部某城市一家公司之间存在明显相关性。目前,该公司旗下的多个站点已变成博彩网站,病毒作者极有可能在获得丰厚收益之后,暂时转行避风,以此逃避网安机构的追查。

脚下顽固病毒的第意气风发突显渔利富含锁主页、刷流量、恶意推广等办法,霸天虎与汽车人的恶置之不顾场所组成了《变形金刚》种类的精粹片段。初识“霸天虎”

事实上,目前该类病毒木马的传播渠道已呈多元化发展。作为病毒传播的重要载体,盗版Ghost系统通过广告竞价排名获得网络访问量以吸引用户下载安装内嵌病毒的软件,最终劫持主页等手段进行获利;同时盗版激活工具、游戏外挂及各类下载器,针对特定目标人群发动定向攻击;另外第三方流氓软件也是顽固病毒的重要传播渠道,以看似“正常”的软件诱导用户下载,继而向用户电脑上安装病毒文件。

此次年度最大病毒团伙能够现形,腾讯安全大脑在其中发挥了积极价值。腾讯安全大脑依托腾讯近20年安全经验积累,融合AI、大数据、移动互联网、云计算等新兴技术,整合腾讯安全联合实验室和众多安全专家的顶尖技术能力,对海量安全数据进行收集、分析、处理,从而提供安全态势感知、溯源分析、风险趋势预测、智能化辅助决策、安全协同处置等智慧安全能力,是腾讯安全着力打造智慧安全的核心引擎。

宅客频道了解到,腾讯安全专家通过例行的智能分析系统查询发现,双枪、紫狐、幽虫和独狼系列木马都被聚类到同一个自动家族T-F-8656。

图片 4

从自动家族T-F-8656中筛选出部分关键节点,并使用3D模式进行可视化展示后,发现幽虫、独狼、双枪、紫狐以及关联到的盗号、恶意推装木马之间联系非常紧密,但又层次分明,这一布局就像有人专门设计的结构。

(图:带毒盗版Ghost系统广告竞价排名)

图片 5

不止于普通用户,顽固病毒还会通过弱口令爆破、漏洞利用等入侵方式集中攻击企业用户。近年来,随着挖矿木马、勒索病毒的兴起,挖矿勒索等病毒为了提升查杀难度,获得更早的执行机会,也会与顽固病毒进行捆绑传播。

正如上述,该团伙通过木马病毒安装Rootkit后门,通过多种流行的黑色产业变现牟利。其“业务”包括,云端控制下载更多木马、强制安装互联网软件、篡改锁定用户浏览器、刷量、挖矿等等。

对此,《报告》提醒企业用户,尽量关闭不必要的文件共享和端口,对重要文件和数据进行定期非本地备份;采用高强度的密码,同时对没有互联需求的服务器/工作站内部访问设置相应控制。

据悉,该病毒团伙在2018年7-8月为活跃高峰,当时被感染的电脑在3000万-4000万台之间。之后,该病毒的传播有所收敛,在2018年8-11月感染量下降到1000万-2000万之间。至今,被该病毒团伙控制的电脑仍在200-300万台。

顽固病毒三大技术对抗手段:拦截过滤、对抗杀软、自保护

图片 6

《报告》指出,该类病毒作者不断提升拦截过滤、对抗杀软、自保护等技术实现对抗杀软。首先,顽固病毒木马作者通过注册各种各样的回调、hook系统相关函数,以合适的时间获得执行机会,在回调函数中完成相关的拦截过滤功能,直接拦截包括文件过滤、网络过滤等文件。

进一步调查显示,该病毒团伙的受害者分布在全国各地,其中广东、山东、江苏受害最为严重。该病毒团伙受害者地域分布如下图所示:

图片 7

图片 8

(图:独狼Rootkit过滤点)

腾讯安全称,通过多个维度分析幽虫、独狼、双枪、紫狐、贪狼等病毒木马的技术特点、病毒代码的同源性分析、C2服务器注册、托管等线索综合分析,最终判断这5个影响恶劣的病毒团伙背后是由同一个黑客组织操控。

其次,为躲避杀软查杀,病毒作者采用各种手段完成对抗,包括病毒文件名随机化、阻止杀毒软件进程启动、设备占坑、阻断联网、重定向、禁写BCD配置文件等升级技术等。此外,病毒作者会采用“自保护“方式,通过阻止或者隐藏自身注册表以达到自保护的目的。

进一步对上图中涉及的所有信息进行分析整理,可以发现,幽虫和独狼木马通过盗版GHOST系统、系统激活工具、游戏外挂等多种渠道进行传播,负责在受害者系统中安装Rootkit,并将自身进行持久化(通过安装木马长时间控制目标系统,业内俗称“持久化”),然后再通过下载者木马投递双枪、紫狐、盗号木马等多种恶意程序,同时还在中毒电脑上推广安装多个软件、弹出广告或刷量。

网络攻击威胁不断加剧 技术创新守护用户网络安全

图片 9

纵观整个2018年,利用顽固病毒发动的网络攻击愈发频繁。从“独狼一代”到“暗云变种”再到“外挂幽灵”团伙,顽固病毒逐渐与广大用户生活息息相关,严重威胁用户网络安全。

可见,各个木马家族之间分工明确,环环相扣,组成了一个完整的产业链。

以“外挂幽灵”团伙为例,去年10月,腾讯安全御见威胁情报中心监测发现,“外挂幽灵”团伙利用七哥辅助网等多个游戏辅助网站传播“双枪”、“紫狐”等木马病毒。这些网站提供的多款游戏外挂工具会私自携带多个木马病毒,在安装过程中会释放锁主页程序、开心输入法和“紫狐”木马下载器等恶意程序,给用户造成不必要的经济损失和麻烦。

病毒团伙的庐山真面目

综合整个《报告》可以看出,顽固病毒凭借隐蔽性强、反复感染、难以查杀等特点,逐渐成为黑产分子惯用攻击方式之一。腾讯安全对此建议用户务必提高网络安全意识,保持腾讯电脑管家等安全软件实时开启状态。如果用户已经中招,在用杀毒软件查杀过程中被强制重启,导致杀毒过程终端无法彻底清除该病毒时,可以使用腾讯电脑管家PE版急救箱进行查杀,可彻底查杀顽固病毒。

既然确定了攻击出自同一病毒团伙,那它的真面目又是什么?其背后是否真的有一个完善的网络犯罪团伙在运作?我们且看下面的具体分析。

图片 10

先从幽虫木马开始。

(图:腾讯电脑管家急救箱)

图片 11

独狼驱动部分代码

图片 12

幽虫驱动部分代码

值得一提的是,腾讯安全发现独狼和幽虫木马的驱动代码相似度极高。对比独狼和幽虫木马驱动的关键函数代码流程图,发现它们的整体流程基本一致; 其次,二者的pdb名称和数字签名也完全一致,可见它们重复盗用相同的数字签名。

图片 13

关键函数代码流程

图片 14

幽虫木马pdb名称

图片 15

独狼木马pdb名称

图片 16

幽虫木马与其之前公布的独狼属于同一个木马家族,并出自同一作者之手。那么双枪、紫狐、贪狼是否也与该作者存在更深层次的联系呢?

请看下表:

图片 17

由上表可见,这几个木马在传播渠道、技术手段、恶意行为上相似而又不尽相同,无法简单地判断它们是否是同一作者所为。

接着,再挑选各个木马家族的部分代表性样本,并提取它们的签名信息,如下表所示:

图片 18

幽虫木马与双枪木马使用的大部分签名是一样的,贪狼则使用不一样的签名信息。从盗用的签名上看,幽虫木马和双枪木马存在着很大的猫腻,而贪狼则貌似很“清白“。

2018年10月,有安全厂商披露,通过对比贪狼木马和多个版本双枪木马的pdb,可以发现双枪中进行流量劫持的模块AppManage.dll与贪狼中实现相同功能的模块。而AppManage.dll则出自同一木马作者之手,并且频繁出现”ppzos“和”ivipm“字眼。

双枪、贪狼pdb对比

图片 19

双枪、贪狼pdb对比

而进一步进行关联发现,ppzos.com和ivipm.com的多个子域名均为双枪的C2,而且都在2018年8月~9月之间解析到了同一个ip地址103.35.72.205。此外,在差不多的时间节点,ppzos.com,ivipm.com等子域名又与贵阳市某云世纪科技有限公司的多个站点解析到同一个ip地址121.42.43.112。

图片 20

双枪C2

图片 21

双枪C2

综上,可以确定幽虫、双枪、紫狐和贪狼木马其实出自同一团伙。为了方便回顾,将该团伙使用的各个木马家族之间的关系使用韦恩图整理如下:

图片 22

该团伙的产业链整理如下图所示:

图片 23

Ok,到此为止“霸天虎军团”总算是露出了庐山真面目——贵阳市某云世纪科技有限公司。

图片 24

图片 25

通过天眼查查询,宅客频道发现该公司目前已经处于注销状态。腾讯安全称,经调查发现该公司旗下的多个站点已变成博彩网站,这可能意味着病毒作者在获得丰厚收益之后,暂时转行避风,以逃避网安机构的查处。

如何防止被攻击?

那么,如何防止被该病毒团伙攻击呢?在此,腾讯安全给到我们几点建议:

1. 建议网民使用正规软件,尽量不要下载运行各类外挂辅助工具,外挂和游戏辅助工具是病毒木马、违规软件传播的主要渠道之一。

2. 几乎所有外挂网站都会诱导、欺骗游戏玩家退出或关闭杀毒软件后再运行外挂。一旦照办,杀毒软件有很高的概率被隐藏在外挂中的病毒木马破坏,从而令电脑失去安全防护能力。

3. 激活工具、Ghost镜像历来都是Rootkit病毒传播的重要渠道,“独狼”Rootkit系列病毒具有隐蔽性强,反复感染,难查杀的特点。建议用户使用正版操作系统,如果杀毒软件报告发现激活破解补丁带毒,建议停止使用。


“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域,讲述黑客背后的故事。

长按下图二维码并识别关注

本文由澳门太阳娱乐2138发布于科技资讯,转载请注明出处:脚下顽固病毒的第意气风发突显渔利富含锁主页、刷流量、恶意推广等办法,霸天虎与汽车人的恶置之不顾场所组成

相关阅读