您好!欢迎来到千赢平台-千赢入口!

咨询电话

136-0105-1789

二维码
二维码 扫一扫二维码,手机访问

在线咨询


联系我们

  • 机构:北京市中闻律师事务所
  • Tel:136-0105-1789
  • 地址:北京市东城区东直门南大街甲3号居然大厦18层(东直门地铁站D口出直行80米右)
  • 座机号码:010-56210009
  • 传真号码:136-0105-1789
您现在的位置:主页 > 业务领域 > 其它犯罪 > > 文章详情

黑客犯罪团伙隐匿者被扒皮竟然是中国人

来源:未知 作者:admin 时间:2016-08-29 03:36

  亚虎国际娱乐,而比来,一个以取利为目标,活跃于互联网上,具有超强手艺能力并多次策动大规模的黑客团伙被挖掘出来,并定名为“藏匿者”,更令人惊讶的是这个团伙可能由中国人构成或参取。

  “藏匿者”最早呈现正在2014年,此后一曲处置入侵办事器或者小我从机的黑色财产,他们通过植入后门法式节制这些设备(肉鸡),然后进行DDoS,也会将这些肉鸡出租给其他黑产团伙。

  比来,“藏匿者”次要操纵这些“肉鸡”来“挖矿”——出产比特币。为了用户设备持久取利,“藏匿者”会“黑吃黑”,以此掠取其他黑客团伙的“肉鸡”,删除其他黑客的后门账户、竣事其后门历程、封闭可被能操纵的端口等。

  做为一个四周掠夺的团伙,不时打磨手中利剑非分特别主要。早正在4月29日,“藏匿者”就将刚泄露十余天的“之蓝”缝隙插手本人的黑客东西箱中,这比恶性病毒WannaCry 5月12日初次迸发还早2周时间。

  正在火绒终端阐发系统中,我们找出取相关的全数恶意C&C办事器域名。通过梳理近半年的活跃C&C办事器,我们列举出了数据量最大10个的C&C办事器地址,如下图所示:

  通过上图能够看出,mykings.pw、个域名正在时间和迸发数量上呈现出了此消彼长、持续的态势,且迸发数量有很强的延续性。凡是,黑客攻下的从机数量会不竭激增,且黑客为了提高其荫蔽性会不竭地改换C&C办事器地址。所以我们初步猜测,上述四个C&C办事器域名可能同属于一个黑客团伙。

  根据上图的红色上升曲线能够看出,该黑客团伙前期所节制的从机数量增加趋向较为平缓。正在4月14日“Shadow Brokers”组织泄显露“之蓝”缝隙之后,该黑客团伙可能将“之蓝”缝隙插手到了渗入东西箱中。正在此之后,依托其之前攻下的从机,使操纵mykings.top域名的数量正在短时间内快速迸发到了一个较高程度。

  但随后,WannaCry病毒正在全球范畴内大范畴迸发(即上图灰色虚线所示时间点)。该黑客团伙所节制的从机受该病毒影响十分严沉,正在大部门中毒办事器选择沉置系统后,其所节制的从机数量有了较着削减。所以表现正在迸发趋向上,取该黑客团伙相关的防御事务正在同样利用“之蓝”缝隙进行的WannaCry病毒风行后的很短一段时间之内呈现了曲线下滑,即便该黑客团伙正在其后续的中插手了相关的防御功能,也仍然于事无补。最初,事务数量不变正在了“之蓝”缝隙迸发之前以下(即上图棕色虚线所示以下),表白除操纵缝隙入侵从机遭到了间接影响以外,前期该团伙所攻下的部门从机也遭到了间接影响。

  颠末下文细致论证,除上述四个域名外, oo000oo.club和5b6b7b.ru这两个域名也同属于这一黑客团伙。这两个域名初次触发相关防御拦截点的时间很是附近,且时间点都正在取C&C办事器域名相关防御拦截事务数量锐减之后。所以我们猜测,正在该黑客团伙被WannaCry病毒沉创之后,为了可以或许尽快本人的“丧失”,起头同时利用多个域名和办事器,并行为其进行渗入。

  因为该黑客团伙持久暗藏于互联网中,且其对互联网所形成的随时间逐步加强,所以我们将该黑客团伙定名为“藏匿者”。

  正在近半年中,有多篇其他平安厂商演讲中都曾呈现过“藏匿者”的脚印。卡巴斯基尝试室正在2017年2月发布演讲《New(ish) Mirai Spreader Poses New Risks》,提到了前文所述的和mykings.pw 域名。

  别的三个域名(js.oo000oo.club、js.5b6b7b.ru)虽然也都属于这个黑客团伙,可是至今还没有平安厂商对其进行过相关阐发,未来可能被会被爆出新的平安。火绒终端防御消息,如下图所示:

  取前文所述六个域名及其子域名定名具有很是高的类似性。域名定名体例类似,此中三个域名都为“my”开首。如下图所示:

  二级域名按C&C功能定名,别离包罗“js.”、“down.”和“wmi.”三种域名形式。如下图所示:

  按照火绒终端谍报系统所供给的防御拦截数据,我们能够进一步得出,上述的几个域名相关的行为具有极强的同源性。如下图所示:

  2. 号令行脚本启动FTP号令行参数中,以时间为序,前三组FTP用户名同为“mssql2”,后三组用户名同为“test”,且所有FTP所利用的暗码全数都是1433。

  3. 近程施行脚本挪用的号令行参数,除域名 (下图标红部门)改变外,其他参数及参数完全不异。如下图所示:

  剧雷锋网领会,火绒的终端用户遭到黑客后,正在用户终端检测到取C&C办事器进行通信的样本。通过度析,这些样本正在错误字符串、机制、 编程言语和编译器等细节也表示出了很强的同源性。

  此中mykings.pw和名相关样本为同源样本,样本中字符串消息具有很高的类似性。如下图所示:

  病毒所利用的相关数据来自于C&C办事器(正在我们所阐发的样本中,下载地址为:),数据是进行过加密的。下载后病毒会将wpd.dat文件的md5数值取C&C办事器中wpdmd5.txt中存放的md5数值进行比力,若是不异则进行解密。如下图所示:

  虽然上述具有很高的复杂度,可是其手段所遭到的也很是多。正在2017年4月14日“ Shadow Brokers”泄露的“之蓝”之后,“藏匿者”编写了新的“之蓝”模块,间接用于取oo000oo.club域名相关的渗入中,其呈现时间比同样操纵“之蓝”缝隙进行的WannaCry病毒(2017年5月12日)还要早。

  通过样本字符串数据的比对,我们能够看到,mykings.top和oo000oo.club域名相关样本也具有很是高的同源性,正在所例举的数据中仅有域名相关部门分歧。如下图所示:

  除此之外正在统一时间,取两个域名相关所利用的close2.bat脚本也完全不异,脚本中所包含的域名也完全分歧(同为。所以我们能够间接得出,取两个域名相关的同属于 “藏匿者”。如下图所示:

  通过对雷同防御事务的筛查,我们找到了取上述mykings.top域名相关的终端数据。如下图所示:

  按照防御事务消息,我们发觉最早呈现的防御消息中父历程为系统历程lsass.exe历程,取“之蓝”缝隙触发后特征完全吻合。正在利用“之蓝”缝隙之后,“藏匿者”的就能够间接绕过用户名暗码的,大大提高的成功率。于此同时,“藏匿者”也对其病毒代码进行很大程度的削减。正在“之蓝”缝隙触发后,正在注入到lsass.exe历程的Payload动态库中,我们发觉其次要逻辑起首会施行一段施行设置装备摆设,设置装备摆设中包罗需要下载的文件和需要施行批处置脚本。批处置中如下图所示:

  如上图所示,病毒代码运转后会下载 “[down]”标签后的两个文件,item.dat和c.bat。item.dat为后门病毒,c.bat则会封闭135、137、138、139和445端口(开初“藏匿者”不会封闭端口,该部门为后期新添加的功能)。如下图所示:

  正在“[cmd]”标签后存放的是病毒需要施行的批处置脚本,该脚本起首会建立后门账户,之后会删除其他黑客留下的后门账户并竣事取其他入侵相关的病毒历程,此中包罗操纵“之蓝”缝隙挖取门罗币病毒事务的相程。如下图所示:

  之后,Payload动态库会注册WMI脚本施行从远端办事器获取到的名为item.dat的后门法式,并施行存放正在远端C&C办事器的J脚本。病毒注册的WMI脚本,如下图所示:

  kill.html中存放是的需要竣事的历程列表,该列表正在其过程中不竭的进行更新。如下图所示:

  test.html中存放的是可施行文件的下载地址,这些文件会被WMI脚本下载到当地进行施行,且该网页中内容能够按照者需求及时进行更新。如下图所示:

  通过对“藏匿者”相关样本字符串特征的拾掇,我们发觉“藏匿者”相关样本中均呈现了中文调试消息。如下图所示:

  颠末筛查取上述具有同源性的样本,我们找到了更晚期的相关样本,其编译时间为2014年7月。如下图所示:

  如上图,我们正在样本数据中找到相关C&C办事器域名,其域名定名体例取前文所述域名类似,且相关模块数据不异。通过域名查询,我们获取到了更多C&C办事器域名消息。如下图所示:

  我们能够通过C&C办事器域名消息揣度,相关最早可能早于2015年4月。但曲到2017年,“藏匿者”的相关才被其他平安厂商报道。

  2017年以来,消息平安范畴事务频发,“藏匿者”也正在不竭地操纵这些平安消息对本人的进行改良。“藏匿者”所利用的分歧手段所占比沉,随时间不竭的进行演变。从如下图所示:

  以时间为序,我们能够看出“藏匿者”不竭改换域名的同时,也正在不竭的改良其体例,并且其体例的更新会紧跟互联网平安事务。例如:开初,“藏匿者”会通过“近程脚本运转”的体例绕过AppLocker白名单。正在2017岁首年月爆出“近程施行MSI安拆包”能够绕过AppLocker白名单之后,终端拦截到的“运转近程MSI安拆包”行为起头较着增加(上图第四部门)。明显正在岁首年月爆出动静后,“藏匿者”也将新的绕过AppLocker白名单的方式插手了本人的渗入东西。

  虽然自始至终“藏匿者”所采用的都是高度法式化的,可是正在这一阶段,由于其只能通过破解用户名暗码的体例进行分歧品种的,所以其效率并不是很高。如下图所示:

  剧雷锋网领会,正在2017年4月 “Shadow Brokers”组织爆出“之蓝”缝隙之后,“藏匿者”随即将该缝隙插手到了本人的渗入东西中。操纵缝隙运转的动态库会注册WMI脚本,最终再由WMI脚本启动后门法式,从而间接获取到从机的节制权。这种模式不单省去了耗时的遍历破解流程,还大大提高了的成功率,使“藏匿者”所节制的从机数量正在短时间内大幅提拔。流程,如下图所示:

  除了上文中所述的 “藏匿者”外,还有一些小的黑客集体也正在利用雷同的手段进行,正在互联网中彼此掠取存正在平安缝隙的从机节制权。正在黑客攻下从机之后城市正在从机中建立后门账户,其最较着的抢夺次要正在这些后门账户上。如下图所示(上方为火绒拦截到的“藏匿者”相关恶意行为迸发趋向,下方为火绒拦截到的“藏匿者”对其他后门账户的操做增加趋向):

  按照上图所示数据,我们能够看出为了抢夺这些无限的从机节制权,黑客团伙之间的抢夺非常激烈。“藏匿者”通过不竭的从机收集到了一些常见的后门账户名,再操纵批处置间接对这些常见的后门账号名进行删除操做。

  除了通过删除账户对从机的节制权进行抢夺外,“藏匿者”也会竣事取其他黑客团伙相关的病毒历程。正在期间,“藏匿者”所利用的竣事历程列表会跟着其所收集到的其他病毒数据的增加而不竭进行更新。如下图所示:

  取前文中所展现的晚期kill.html页面比拟该列表有了较着的更新,病毒竣事的历程数量大幅添加。通偏激绒终端谍报系统中的及时防御数据,我们将比力具有代表性的历程径枚举正在了一路。如下图所示:

  通过对数据的拾掇,我们发觉了一个尚未被其他平安厂商提及的未知黑客团伙(相关消息见上图标红部门),该黑客团伙会操纵“之蓝”缝隙入侵从机挖取门罗币。相关恶意行为消息,如下图所示:

  我们将上述防御数据进行统计拾掇出了未知黑客团伙的趋向,并将其取“藏匿者”的趋向和“藏匿者”竣事未知黑客团伙的病毒历程的数量趋向进行比力。如下图所示:

  通过上图我们能够看出,操纵缝隙挖取门罗币的相关病毒事务比“藏匿者”将“之蓝”插手其渗入东西的时间点要早,且因为 “藏匿者”可能正在其之前中就曾经获取到了取挖取门罗币病毒的相关数据,所以正在“藏匿者”利用缝隙进行的第一时间就将挖取门罗币的病毒历程插手到了历程竣事列表中,且其竣事相程的动做正在挖取门罗币病毒迸发期间根基维持持续增加的趋向。正在病毒迸发事后,相关动做的倡议数量也有较着下降。

  自岁首年月至今,其他的黑客组织(如上述未知黑客组织)也正在进行分歧程度的收集,但相较于“藏匿者”而言这些倡议数量较小,且不具有持续性。能够意料的是,“藏匿者”并不会就此,将来可能带来更多平安,雷锋网也会对“藏匿者”进行持续。前往搜狐,查看更多



添加微信×

扫描添加微信