腾讯安全揪出年度最大病毒团伙,高峰时控制近4000万台电脑

作者:   深圳市网安计算机安全检测技术有限公司 2019/04/30 11:13:25 311次阅读 国际
文章来源:https://mp.weixin.qq.com/s/tmNYp1WHtUxYRE3aRQNUeA

一、概述
       2018年至今,国内先后有多家安全厂商分别发现幽虫、独狼、双枪、紫狐、贪狼等多个病毒木马家族,这些木马利用盗版Ghost系统、激活破解工具、热门游戏外挂等渠道传播,在用户电脑上安装Rootkit后门,通过多种流行的黑色产业变现牟利:包括,云端控制下载更多木马、强制安装互联网软件、篡改锁定用户浏览器、刷量、挖矿等等。
       自诞生以来,这个超大的病毒团伙和国内众多杀毒厂商斗智斗勇,一个团伙在安全软件联合打击下消退,很快就有一个新的团伙取而代之。
       腾讯安全御见威胁情报中心通过多个维度分析幽虫、独狼、双枪、紫狐、贪狼等病毒木马的技术特点、病毒代码的同源性分析、C2服务器注册、托管等线索综合分析,最终判断这5个影响恶劣的病毒团伙背后是由同一个犯罪组织操控。
       该病毒团伙在2018年7-8月为活跃高峰,当时被感染的电脑在3000万-4000万台之间。之后,该病毒的传播有所收敛,在2018年8-11月感染量下降到1000万-2000万之间。至今,被该病毒团伙控制的电脑仍在200-300万台。

86c4503974a90043504b2db076f72cb0.png

e8e5b589568bc97921012b57c23ffdc1.png

       腾讯安全专家最终依靠腾讯安图高级威胁追溯系统,将多个危害严重的病毒家族关联为一个大团伙,将十分有利于与执法部门合作打击猖獗的网络犯罪活动。
二、超大病毒团伙的发现
       腾讯安全专家通过例行的智能分析系统查询发现,双枪、紫狐、幽虫和独狼系列木马都被聚类到同一个自动家族T-F-8656。
(注:病毒家族智能分析系统是腾讯安全大数据平台的子系统,由腾讯安全御见威胁情报中心自主研发,集威胁发现、威胁分析、报告输出及可视化展示等能力于一身的高级威胁分析系统。自动家族是通过机器学习算法聚类得到的可疑木马家族,无须人工干预,系统可自动将存在关联关系的病毒家族聚类到一起。)

b69962ff29f3a5841f7b43dc15577b9e.png

        利用智能分析系统从自动家族T-F-8656中筛选出部分关键节点,并使用3D模式进行可视化展示,发现幽虫、独狼、双枪、紫狐以及关联到的盗号、恶意推装木马之间联系非常紧密,但又层次分明,这一布局就像有人专门设计的结构。
4170e2d17fe2aa688cef048294aca5e2.png
T-F-8656家族3D可视化展示
        进一步将上图中涉及到的所有信息进行分析整理,可以发现,幽虫和独狼木马通过盗版GHOST系统、系统激活工具、游戏外挂等多种渠道进行传播,负责在受害者系统中安装Rootkit,并将自身进行持久化(通过安装木马长时间控制目标系统,业内俗称“持久化”),然后再通过下载者木马投递双枪、紫狐、盗号木马等多种恶意程序,同时还在中毒电脑上推广安装多个软件、弹出广告或刷量。各个木马家族之间分工明确,环环相扣,组成了一个完整的产业链

03f633065fd87d029707e00700edfa6b.png

三、溯源分析
        不仅如此,以上这些木马还有更深入的联系,证明这些传播广泛的木马背后实属一个网络犯罪团伙控制。
1、幽虫 == 独狼系列
其他安全厂商披露的幽虫木马,实为御见威胁情报中心多次报道的独狼系列木马,为保证结果的可靠性,下面我们从不同的维度对此进行交叉验证。
(1)攻击手法
        在幽虫和独狼2的分析报告中都有提到,独狼2和幽虫木马均通过伪装的系统激活工具进行传播,利用到的技术手段和最终的获利方式都如出一辙,同时受害用户中招之后,受害主机系统信息都被上传至同一C2域名www.tj678.top。

174ee88fa8ed955601bd05af76af73a2.png

e53c8ecdbcab30606387982e4baff7bf.png

e604db0149e5693bd2bfec360d11fadb.png

f957d406aa1747d186cda1a0dde94e1e.png

950ec36ddfb789a7ee445df2f5736f0a.png

261c40a60d1b0ec85be3992393ca391b.png

       幽虫&独狼与双枪木马使用的大部分签名是一样的,贪狼则使用不一样的签名信息。从盗用的签名上看,幽虫&独狼和双枪木马存在着很大的猫腻,而贪狼则貌似很“清白“。
       友商曾于2018年10月份披露过,通过对比”贪狼“和多个版本的”双枪“的pdb,可以发现“双枪“中进行流量劫持的模块”AppManage.dll“与”贪狼“中实现相同功能的模块”AppManage.dll“出自同一木马作者之手,如下图所示,它们的pdb名称极其相似,并且频繁出现”ppzos“和”ivipm“字眼。

09f9ff758671325ad28b04c6e4e0493e.png

5bc2210e3133c12c1bbd400c24ebc803.png

3593a6acef9ee2f3742781f42702fc91.png

ce8f2f066dec3b090db17fa76d128cc1.png

3f093f9466f754e2d5feba56ef67380b.png

bce28bce43c10ba6b7968448e7d22712.png

963570668d0bc216dc88becc9eb8912e.png

292a35dc4d72296d5d2729c3fd923272.png

74be3f5c7d1e7617c14aa16ce1394909.png

 0e18b89a028bb6ddf4c399dddbc830f9.png


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室