欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

群魔乱舞:五大国产病毒家族的末日收割

来源:本站整理 作者:佚名 时间:2019-08-07 TAG: 我要投稿

一、事件概述
近期毒霸安全团队通过“捕风”威胁感知系统再次监控到一起大规模病毒传播活动,监控数据显示本次的病毒传播源头为“GX下载器”,分析后我们确认该下载器家族静默安装的“速搜”、“视力管家”等流氓软件为“驱魔”暗刷僵尸家族新变种宿主,除了原有暗刷功能模块更新外,其重要变化是此批流氓安装包中被嵌入下载者后门,通过该后门模块二次推送安装“老裁缝”、“双枪”、“紫狐(GAD)”、“独狼(幽虫)”等其他病毒家族变种,以上均是近些年境内高活跃度的老牌僵尸木马家族,传播时间跨度大多在3年以上,恶意功能模块繁多,涉及流量劫持、恶意推广、广告暗刷、DDOS、挖矿、盗号、蠕虫等等,部分家族的活跃高峰期影响用户量甚至超千万级别。

通过长期数据监控分析,我们观测到上述部分病毒家族在传播渠道、技术手法、代码相似性、CC基础设施复用、攻击目标等多方面均存在交叉关联的情况,幕后团伙极有可能为同一组织,详情可参见友商“御见”安全团队针对上述部分家族的深度关联分析报告。上述老牌病毒家族借助同一宿主母体活跃传播的情况近年比较少见,从侧面也说明上述木马家族传播活动愈发肆无忌惮,在PC后流量时代试图疯狂抱团进行最后价值的压榨收割。以下我们针对上述病毒家族的活跃历史、技术特点以及危害行为进行简单梳理:
1) “驱魔”家族
该家族传播渠道多样,传播周期较长,最早在2017年被毒霸安全团队披露,寄生于“花瓣壁纸”、“锁大师”等流氓软件中,主要恶意行为为主页劫持和流量暗刷。早期变种利用系统服务、系统驱动劫持等方式实现隐蔽常驻,后续大多借助“流氓软件”外壳寄生实现注入系统进程,通过多层解密和内存加载释放和傀儡进程注入来躲避安全软件查杀,并且暗刷配置和暗刷插件都是云端配置,控制灵活、扩展性和兼容性好。
以“暗刷”功能为例,我们监控捕获到的各类暗刷插件已累计数百个,“驱魔”家族一直都是国内最活跃最庞大的暗刷僵尸网络之一,本次更新变种更是成为众多老牌病毒家族的直接母体传播源。
2) “老裁缝”家族
该病毒家族由毒霸安全团队在2017年分析披露,因其早期变种宿主为“老裁缝激活工具”而得名。其底层技术框架为rootkit+ring3云控模块的形式,扩展性较好,主要用于主页劫持、电商广告劫持、流量暗刷等。
近两年依旧在不停变种更新,2018年中在“双生花”暗刷事件中被再次披露,与另外一个暗刷家族“JsCtrl”共同藏身于“心跳助手”正规软件的外壳下隐蔽攻击近半年时间;2019年7月初,又一次被毒霸安全团队发现借助“眼睛守护神”流氓软件传播。
3) “紫狐(GAD)”家族
该家族传播时间跨度较长,早期活跃痕迹可以追溯到2014年左右,国内安全团队对该家族变种的命名也较多,包括“黑狐/紫狐”(360安全团队)、“肥兔”(腾讯安全团队) 、“掘金幽灵”(绿盟安全团队)等。该家族主体功能模块使用delphi编写,传播渠道多样,善于利用白程序混淆伪装自身,多使用系统模块替换劫持技术和Rootkit驱动隐藏自身对抗查杀,去年还加入了“永恒之蓝”传播模块,另外在2016年底的“天翼校园客户端蓝屏事件”以及2017年底的“天翼校园客户端挖矿程序事件”也出现过其活动痕迹。
因其模块配置和符号名称多使用“Gad”字符后缀,毒霸安全团队内部将其名为为“GAD”家族,通过近几年的持续监控分析,我们发现其组建的僵尸网络曾推送过流氓推广、DDOS攻击、挖矿、远控木马、主页劫持等多种恶意插件,本次捕获的最新变种核心模块为门罗币挖矿和DDOS攻击,其中DDOS攻击目标集中在游戏私服,棋牌赌博游戏,色情网站等灰产行业,相关技术细节将在本文后续部分展开。
4) “双枪”家族
该家族传播多见于私服外挂捆绑、ghost盗版系统内置、下载站、流氓软件暗推等渠道,其幕后团伙与国内私服运营团队可能存在密切关联,该家族最早在17年被360安全团队分析曝光,以采用“MBR+VBR”双Bootkit技术而知名,善用百度贴吧图床藏匿病毒,同时在技术对抗性上非常强,内核模块使用VMP加密保护,使用底层磁盘驱动挂钩、文件系统对象劫持、网络劫持阻断、注册表HIVE锁定等rootkit技术对抗安全软件查杀,落地功能模块多为主页劫持、私服劫持、电商劫持、DDOS攻击等。
2018年的部分变种功能模块为毒霸安全团队披露过的“贪狼”家族,除此之外,我们还发现部分“双枪”家族变种曾推送过“驱魔”病毒,可见这些病毒团伙幕后存在非常紧密的合作关系。
5) “独狼(幽虫)”家族
该家族主要通过盗版ghost系统预装、激活工具捆绑、下载器等方式进行传播推广,落地功能模块主要用于浏览器劫持、推广安装、病毒推送等恶意行为,腾讯安全团队(命名为“独狼”)和360安全团队(命名为“幽虫”家族)在2018年都相继进行过分析披露,该家族rootkit模块功能相对完善,包含文件系统过滤、注册表过滤、网络过滤、进程镜像过滤等多种技术对抗杀软查杀。从我们的历史观测数据来看,早在2017年该家族就已经开始出现,从2018年中至2019年初保持较高活跃度,每月都有版本迭代更新,本次截获的最新变种还加入了DDOS

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载