欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

彻底曝光黑客组织“隐匿者”,目前作恶最多的网络攻击团伙

来源:本站整理 作者:佚名 时间:2017-07-29 TAG: 我要投稿

一、综述
经过对大量的病毒攻击事件深入研究,火绒安全实验室挖掘出一个作恶累累的黑客犯罪团伙,并将其命名为”隐匿者”,该团伙可能由中国人组成或参与。这可以说是近年来互联网上最活跃、发起攻击次数最多、攻击范围最广的黑客团伙,拥有非常强的技术能力,并完全以牟利为目的。
“隐匿者”最早出现在2014年,此后一直从事入侵服务器或者个人主机的黑色产业,他们通过植入后门程序控制这些设备(肉鸡),然后进行DDoS攻击,也会将这些肉鸡出租给其他黑产团伙,近期,则主要利用这些”肉鸡”来”挖矿”–生产比特币。
在火绒团队统计的近期10大最活跃黑客攻击C&C服务器中,该团伙独占了6个,其攻击范围和频率远高于其他黑客团伙。为了霸占用户设备长期牟利,”隐匿者”会抢夺其他黑客团伙的”肉鸡”,删除其他黑客的后门账户、结束其后门进程、关闭可被能利用的攻击端口等。
“隐匿者”拥有非常强的技术实力,而且还在不断改进自己的攻击工具,早在4月29日,他们就将刚泄露十余天的”永恒之蓝”漏洞加入自己的黑客工具箱中,这比恶性病毒WannaCry5月12日首次爆发还早2周时间。
火绒安全团队很早就一些攻击事件的研究中,嗅探到这个频频出手的黑客犯罪团伙的存在。卡巴斯基、Cyphort等安全厂商近期的报告中,也都零星地提到了”隐匿者”使用的部分C&C服务器。火绒通过对大量攻击事件的分析和溯源,并结合详细的代码分析,寻找出其中的关联线索,最终确定了”隐匿者”的存在,并在随后的不断追踪中,掌握了”隐匿者”更多的作恶证据。
火绒倡导”情报驱动安全”的新理念,在国内率先部署完成了EDR(终端、检测和响应)系统–将用户终端的”火绒安全软件”和后台”火绒终端威胁情报系统”实时连接,通过用户终端收集威胁信息,上传到后台进行深度分析,再将解决方案在最快时间内推送给火绒用户。
正是这套威胁情报系统,帮助火绒安全团队截获、分析出大量和”隐匿者”相关的信息,从而完成了这次对黑客犯罪团伙的”完美追踪”。在此之后,火绒将持续跟踪该团伙的犯罪活动,随时根据”隐匿者”释放的恶意代码升级”火绒安全软件”,保护用户的安全。
二、数据线索
在火绒终端威胁分析系统中,我们找出与攻击相关的全部恶意C&C服务器域名。通过梳理近半年的活跃C&C服务器,我们列举出了数据量最大10个的C&C服务器地址,如下图所示:

△域名汇总
以时间为轴,我们可以直观的看到依托于不同C&C服务器域名的攻击爆发趋势,如下图所示:

△触发防御点的域名爆发趋势
通过上图可以看出,f4321y.com、mykings.pw、mys2016.info、mykings.top四个域名在攻击时间和爆发数量上呈现出了此消彼长、持续攻击的威胁态势,且爆发数量有很强的延续性。通常,黑客攻陷的主机数量会不断激增,且黑客为了提高其隐蔽性会不断地更换C&C服务器地址。所以我们初步猜测,上述四个C&C服务器域名可能同属于一个黑客团伙。
依据上图的红色上升曲线可以看出,该黑客团伙前期攻击所控制的主机数量增长趋势较为平缓。在4月14日”ShadowBrokers”组织泄露出”永恒之蓝”漏洞之后,该黑客团伙可能将”永恒之蓝”漏洞加入到了渗透工具箱中。在此之后,依托其之前攻陷的主机,使利用mykings.top域名的攻击数量在短时间内快速爆发到了一个较高水平。
但随后,WannaCry病毒在全球范围内大范围爆发(即上图灰色虚线所示时间点)。该黑客团伙所控制的主机受该病毒影响十分严重,在大部分中毒服务器选择重置系统后,其所控制的主机数量有了明显减少。所以体现在爆发趋势上,与该黑客团伙相关的防御事件在同样使用”永恒之蓝”漏洞进行传播的WannaCry病毒流行后的很短一段时间之内出现了直线下滑,即使该黑客团伙在其后续的攻击中加入了相关的防御功能,也依然于事无补。最后,攻击事件数量稳定在了”永恒之蓝”漏洞爆发之前以下(即上图棕色虚线所示位置以下),表明除利用漏洞入侵主机受到了直接影响以外,前期该团伙所攻陷的部分主机也受到了直接影响。
经过下文详细论证,除上述四个域名外,oo000oo.club和5b6b7b.ru这两个域名也同属于这一黑客团伙。这两个域名首次触发相关防御拦截点的时间非常相近,且时间点都在与C&C服务器域名相关防御拦截事件数量锐减之后。所以我们推测,在该黑客团伙被WannaCry病毒重创之后,为了能够尽快挽回自己的”损失”,开始同时使用多个域名和服务器,并行为其进行渗透攻击。
由于该黑客团伙长期潜伏于互联网中,且其攻击对互联网所造成的威胁随时间逐渐增强,所以我们将该黑客团伙命名为”隐匿者”。
在近半年中,有多篇其他安全厂商报告中都曾出现过”隐匿者”的足迹。卡巴斯基实验室在2017年2月发布报告《New(ish)MiraiSpreaderPosesNewRisks》,提到了前文所述的f4321y.com和mykings.pw域名。
针对Mirai病毒事件,火绒所拦截到的终端防御事件信息,如下图所示:

△攻击使用的C&C服务器域名信息
Cyphort实验室在2017年5月发布报告《EternalBlueExploitActivelyUsedtoDeliverRemoteAccessTrojans》,提到了C&C服务器域名mykings.top。报告中指出,黑客借助”永恒之蓝”漏洞进行攻击。

[1] [2] [3] [4] [5]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载