欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

“隐匿者”病毒团伙技术升级传播病毒,暴力入侵电脑威胁全网用户

来源:本站整理 作者:佚名 时间:2018-09-12 TAG: 我要投稿

门罗币钱包信息
四、同源性分析
除行为特征外,我们通过对比样本关键数据,还发现了更多的同源性特征。比如在获取挖矿钱包信息时,文中样本与2017年隐匿者相关样本(SHA256:f37a0d5f11078ef296a7c032b787f8fa485d73b0115cbd24d62cdf2c1a810625)均会向C&C服务器请求名为xmrok.txt的加密数据文件,且该文件均为AES算法加密。相关数据,如下图所示:

样本关键逻辑对比
除此之外,文中所提到的样本与2017年样本相同,挖矿功能均是使用xmr-stak开源代码。相关数据,如下图所示:

挖矿相关数据对比
通过对比分析,我们发现与2017年样本相比,虽然最终恶意行为完全相同,但新样本在恶意逻辑中加入了云控功能,从而可以使样本可以根据黑客在C&C服务器中提供的恶意代码和相关配置信息对病毒进行调整。除此之外,文中样本较2017年隐匿者样本还加强了对样本自身代码的保护,在后门病毒及其派发模块中大量使用了VMProtect保护壳,加大了安全分析人员的分析成本。壳信息,如下图所示:

壳信息
隐匿者黑客组织最早可以追溯至2014年(时间依据请见前期报告),其攻击手法多样,且至今依然在不断进行改进和增强,已经成为对互联网环境威胁最大黑客组织之一。火绒会继续对该黑客组织进行追踪,不断收集和防御与该组织相关的所有安全威胁。
五、附录
文中涉及样本SHA256:

IOC:

上一页  [1] [2] [3] [4] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载