黑产军团显露真容:高峰时控制4000万台电脑

  • 时间:
  • 浏览:0
  • 来源:极速快3_快3软件_极速快3软件

作为经典科嗜血片之一,《变形金刚》广受影迷们的喜爱。影片中,令人印象深刻的除了正义的汽车人小分队,霸天虎军团作为反派同样是声名远扬。

以威震天为首领,霸天虎与汽车人的恶斗场面组成了《变形金刚》系列的经典片段,并最终被另一个人 铭记脑海。

果然上述场景,仅指在于电影当中?不,其着实网络安全领域类事故事也在上演。

这次的大反派自2018年起,通过幽虫、独狼、双枪、紫狐、贪狼等多个病毒木马家族,利用盗版Ghost系统、激活破解工具、热门游戏外挂等渠道传播,在用户电脑上安装Rootkit后门。

自诞生以来,你這個超大的病毒团伙和国内众多杀毒厂商斗智斗勇,四个 团伙被打退,变慢时要新的团伙取而代之,其真面目则一直是个谜。

4月29日,腾讯安全发文称终于揪出了你這個年度最大的黑产界“霸天虎军团”。

初识“霸天虎”

腾讯安全专家通过例行的智能分析系统查询发现,双枪、紫狐、幽虫和独狼系列木马都被聚类到同四个 自动家族T-F-8656。

从自动家族T-F-8656中筛选出主次关键节点,并使用3D模式进行可视化展示后,发现幽虫、独狼、双枪、紫狐以及关联到的盗号、恶意推装木马之间联系非常紧密,但又层次分明,你這個布局就像另一个人专门设计的型态。

正如上述,该团伙通过木马病毒安装Rootkit后门,通很多种流行的黑色产业变现牟利,其“业务”包括,云端控制下载更多木马、强制安装互联网软件、篡改锁定用户浏览器、刷量、挖矿等等。

据悉,该病毒团伙在2018年7-8月为活跃高峰,当时被感染的电脑在300万-300万台之间。

前一天,该病毒的传播有所收敛,在2018年8-11月感染量下降到30万-30万之间。至今,被该病毒团伙控制的电脑仍在30-30万台。

进一步调查显示,该病毒团伙的受害者分布在全国各地,其中广东、山东、江苏受害最为严重。

该病毒团伙受害者地域分布如下图所示:

腾讯安全称,通很多个维度分析幽虫、独狼、双枪、紫狐、贪狼等病毒木马的技术特点、病毒代码的同源性分析、C2服务器注册、托管等线索综合分析,最终判断这四个 影响恶劣的病毒团伙眼前 是由同四个 黑客组织操控。

进一步对上图中涉及的所有信息进行分析收集,都还里能发现,幽虫和独狼木马通过盗版GHOST系统、系统激活工具、游戏外挂等多种渠道进行传播,负责在受害者系统中安装Rootkit,并将自身进行持久化(通过安装木马长时间控制目标系统,业内俗称“持久化”),但会 再通过下载者木马投递双枪、紫狐、盗号木马等多种恶意程序运行,一起还在中毒电脑上推广安装多个软件、弹出广告或刷量。

可见,各个木马家族之间分工明确,环环相扣,组成了四个 完整版的产业链。(如上图)

病毒团伙的庐山真面目

既然挑选了攻击出自同一病毒团伙,那它的真面目又是那此?其眼前 是是不是真的有四个 完善的网络犯罪团伙在运作?另一个人 且看下面的具体分析。

先从幽虫木马始于英语 。

幽虫木马的攻击手法通过伪装的系统激活工具进行传播,利用到的技术手段和最终的获利最好的措施都如出一辙,一起受害用户中招前一天,受害主机系统信息都被上传至同一C2域名www.tj678.top。



独狼驱动主次代码



幽虫驱动主次代码

值得一提的是,腾讯安全发现独狼和幽虫木马的驱动代码类事度极高。对比独狼和幽虫木马驱动的关键函数代码流程图,发现它们的整体流程基本一致; 其次,二者的pdb名称和数字签名也完整版一致,可见它们重复盗用相同的数字签名。



关键函数代码流程



幽虫木马pdb名称



独狼pdb名称

幽虫木马与其前一天公布的独狼属于同四个 木马家族,并出自同一作者之手。没人双枪、紫狐、贪狼是是不是也与该作者指在更厚度次的联系呢?

请看下表:

由上表可见,这几只木马在传播渠道、技术手段、恶意行为上类事而又不尽相同,无法简单地判断它们是是不是同一作者所为。

接着,再挑选各个木马家族的主次代表性样本,并提取它们的签名信息,如下表所示:

幽虫木马与双枪木马使用的大主次签名是一样的,贪狼则使用不一样的签名信息。从盗用的签名上看,幽虫木马和双枪木马指在着很大的猫腻,而贪狼则貌似很“清白“。

2018年10月,有安全厂商披露,通过对比贪狼木马和多个版本双枪木马的pdb,都还里能发现双枪中进行流量劫持的模块AppManage.dll与贪狼中实现相同功能的模块。而AppManage.dll则出自同一木马作者之手,但会 频繁出显”ppzos“和”ivipm“字眼。



双枪、贪狼pdb对比



双枪、贪狼pdb对比

而进一步进行关联发现,ppzos.com和ivipm.com的多个子域名均为双枪的C2,但会 时要2018年8月~9月之间解析到了同四个 ip地址103.35.72.205。此外,在差很多的时间节点,ppzos.com,ivipm.com等子域名又与贵阳市某云世纪科技有限公司的多个站点解析到同四个 ip地址121.42.43.112。



双枪C2



双枪C2

综上,都还里能挑选幽虫、双枪、紫狐和贪狼木马着实出自同一团伙(作者)。

为了方便回顾,将该团伙使用的各个木马家族之间的关系使用韦恩图收集如下:

该团伙的产业链收集如下图所示:

Ok,到此为止“霸天虎军团”一直是不是露出了庐山真面目——贵阳市某云世纪科技有限公司。

据悉,其曾通过公司官网www.qhaiyun.com利用开心输入法等产品传播双枪木马,而该公司的产品点点输入法安装包的pdb名称与双枪、贪狼pdb名称厚度类事,工程项目的附目录时要”E:\Code\Ivipm\source”和”E:\Code\ppzos\source”之下。

通过天眼查查询,雷锋网发现该公司目前原因指在撤除 情况汇报。腾讯安全称,经调查发现该公司旗下的多个站点已变成博彩网站,这原因原因病毒作者在获得丰富收益前一天,暂时转行避风,以逃避网安机构的查处。

如可处理被攻击?

没人,如可处理被该病毒团伙攻击呢?在此,腾讯安全给到另一个人 几点建议:

1、建议明星微博 见面见面使用正规软件,尽量从不下载运行各类外挂辅助工具,外挂和游戏辅助工具是病毒木马、违规软件传播的主要渠道之一。

2、几乎所有外挂网站时要诱导、欺骗游戏玩家退出或关闭杀毒软件后再运行外挂。一旦照办,杀毒软件有很高的概率被隐藏在外挂中的病毒木马破坏,从而令电脑抛下安全防护能力。

3、激活工具、Ghost镜像历来时要Rootkit病毒传播的重要渠道,“独狼”Rootkit系列病毒具有隐蔽性强,反复感染,难查杀的特点。建议用户使用正版操作系统,原因杀毒软件报告发现激活破解补丁带毒,建议停止使用。

微信公众号搜索"

驱动之家

"加关注,每日最新的手机、电脑、汽车、智能硬件信息都还里能让你一手全掌握。推荐关注!【

微信扫描下图可直接关注