欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

腾讯安全揪出年度最大病毒团伙,高峰时控制近4000万台电脑

来源:本站整理 作者:佚名 时间:2019-05-05 TAG: 我要投稿

一、概述
2018年至今,国内先后有多家安全厂商分别发现幽虫、独狼、双枪、紫狐、贪狼等多个病毒木马家族,这些木马利用盗版Ghost系统、激活破解工具、热门游戏外挂等渠道传播,在用户电脑上安装Rootkit后门,通过多种流行的黑色产业变现牟利:包括,云端控制下载更多木马、强制安装互联网软件、篡改锁定用户浏览器、刷量、挖矿等等。
自诞生以来,这个超大的病毒团伙和国内众多杀毒厂商斗智斗勇,一个团伙在安全软件联合打击下消退,很快就有一个新的团伙取而代之。
腾讯安全御见威胁情报中心通过多个维度分析幽虫、独狼、双枪、紫狐、贪狼等病毒木马的技术特点、病毒代码的同源性分析、C2服务器注册、托管等线索综合分析,最终判断这5个影响恶劣的病毒团伙背后是由同一个犯罪组织操控。
该病毒团伙在2018年7-8月为活跃高峰,当时被感染的电脑在3000万-4000万台之间。之后,该病毒的传播有所收敛,在2018年8-11月感染量下降到1000万-2000万之间。至今,被该病毒团伙控制的电脑仍在200-300万台。

图 1 传播趋势
该病毒团伙的受害者分布在全国各地,其中广东、山东、江苏受害最为严重。该病毒团伙受害者地域分布如下图所示:

图 2 地域分布
腾讯安全专家最终依靠腾讯安图高级威胁追溯系统,将多个危害严重的病毒家族关联为一个大团伙,让人们更清晰的感知到网络病毒黑产规模之庞大,体系之成熟。
二、超大病毒团伙的发现
腾讯安全专家通过例行的智能分析系统查询发现,双枪、紫狐、幽虫和独狼系列木马都被聚类到同一个自动家族T-F-8656。(注:病毒家族智能分析系统是腾讯安全大数据平台的子系统,由腾讯安全御见威胁情报中心自主研发,集威胁发现、威胁分析、报告输出及可视化展示等能力于一身的高级威胁分析系统。自动家族是通过机器学习算法聚类得到的可疑木马家族,无须人工干预,系统可自动将存在关联关系的病毒家族聚类到一起。)

图 4 智能分析系统
利用智能分析系统从自动家族T-F-8656中筛选出部分关键节点,并使用3D模式进行可视化展示,发现幽虫、独狼、双枪、紫狐以及关联到的盗号、恶意推装木马之间联系非常紧密,但又层次分明,这一布局就像有人专门设计的结构。

图 5 T-F-8656家族3D可视化展示
进一步将上图中涉及到的所有信息进行分析整理,可以发现,幽虫和独狼木马通过盗版GHOST系统、系统激活工具、游戏外挂等多种渠道进行传播,负责在受害者系统中安装Rootkit,并将自身进行持久化(通过安装木马长时间控制目标系统,业内俗称“持久化”),然后再通过下载者木马投递双枪、紫狐、盗号木马等多种恶意程序,同时还在中毒电脑上推广安装多个软件、弹出广告或刷量。各个木马家族之间分工明确,环环相扣,组成了一个完整的产业链。

图 6 幽虫、独狼、双枪、紫狐等木马组成的产业链
三、溯源分析
不仅如此,以上这些木马还有更深入的联系,证明这些传播广泛的木马背后实属一个网络犯罪团伙控制。
1、幽虫 == 独狼系列
其他安全厂商披露的幽虫木马,实为御见威胁情报中心多次报道的独狼系列木马,为保证结果的可靠性,下面我们从不同的维度对此进行交叉验证。
(1)攻击手法
在幽虫和独狼2的分析报告中都有提到,独狼2和幽虫木马均通过伪装的系统激活工具进行传播,利用到的技术手段和最终的获利方式都如出一辙,同时受害用户中招之后,受害主机系统信息都被上传至同一C2域名www.tj678.top。
表 1 幽虫、独狼2基本信息对比:

(2)驱动代码相似同源
独狼木马和幽虫木马的驱动代码相似度极高,如下图所示:

图 7 独狼驱动部分代码

图 8 幽虫驱动部分代码
如下图所示,对比独狼木马和幽虫木马驱动的关键函数代码流程图,发现它们的整体流程基本一致,可以确定它们属于同一木马家族。

图 9 关键函数代码流程
(3)pdb名称
通过腾讯安图高级威胁追溯系统进行查询,可以看到,幽虫木马和独狼1木马的pdb名称完全一致。

图 10  幽虫木马pdb名称

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载