DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

“隐匿者”病毒团伙技术升级传播病毒,暴力入侵电脑威胁全网用户

09-17 WEB安全

一、概述
近期,火绒安全团队发现病毒团伙”隐匿者”进行了新的技术升级,正在传播病毒”Voluminer”。该病毒通过暴力破解的方式入侵电脑后,会利用用户电脑挖取门罗币,并且在电脑中留下后门,病毒团伙可通过远程控制随时修改恶意代码,下载其他更具威胁性的病毒模块。该病毒还会通过内核级对抗手段躲避安全软件查杀。
病毒暴力破解用户数据库入侵电脑后,会篡改电脑系统中的主引导记录(MBR),一旦重启电脑,即可执行病毒,并在系统内核空间运行恶意代码,之后将恶意代码注入到系统进程中(winlogon或explorer进程),最终恶意代码会下载后门病毒到本地执行。
目前,后门病毒会下载执行挖矿相关病毒模块,挖取门罗币,但不排除病毒团伙将来会推送其他病毒模块,发动更具威胁性病毒攻击的可能性。
火绒安全团队曾曝光过该病毒制作组织”隐匿者”,通过对该其长期追踪,发现一直在活跃中,该团伙可能由中国人组成或参与,并完全以牟利为目的。是近年来互联网上最活跃、发起攻击次数最多、攻击范围最广的黑客团伙之一。 
与此前相比,”隐匿者”本次传播的病毒样本所使用的技术更深入底层,隐蔽性更强,也更不易被用户察觉。使用内核级手段对自身病毒代码在磁盘中进行自我保护,与安全软件对抗,难以清除。并且加入远程控制功能,可以随时下载其他病毒模块。
相关文章:
《彻底曝光黑客”隐匿者” 目前作恶最多的网络攻击团伙》
https://www.huorong.cn/info/150097083373.html
二、病毒来源
通过对 “隐匿者”黑客组织的长期追踪,我们发现近期大范围传播的病毒家族Bootkit/Voluminer与该黑客组织可能存在直接关系。病毒运行后会篡改磁盘MBR代码,在电脑重启执行病毒MBR代码后,会在系统内核空间运行恶意代码,之后将恶意代码注入winlogon或explorer进程(依据操作系统版本),最终恶意代码会下载后门病毒到本地执行。后门病毒现阶段会下载执行挖矿相关病毒模块挖取门罗币,但我们不排除将来会推送其他病毒模块的可能性。
“隐匿者”通常会通过暴力破解连接用户计算机中的RPC服务、数据库服务器等,通过这些方式入侵用户电脑进而执行其他恶意代码,具体攻击方式与火绒在2017年7月发布的《彻底曝光黑客”隐匿者” 目前作恶最多的网络攻击团伙》报告中所介绍的攻击方式完全相同。火绒所截获到与本次样本相关的攻击行为,如下图所示:

“隐匿者”病毒团伙技术升级传播病毒,暴力入侵电脑威胁全网用户


攻击行为
火绒在前期报告中,在列举病毒攻击行为时所使用的病毒行为日志原图,如下图所示:

“隐匿者”病毒团伙技术升级传播病毒,暴力入侵电脑威胁全网用户


前期报告原图
在火绒前期报告中所提到的黑客所常用的FTP服务器用户名及密码分别为test和1433,与本次所截获攻击事件中黑客所使用的FTP服务器(ftp.ftp0118.info)相关信息相同。在”隐匿者”使用的FTP服务器地址中,我们发现down.mysking.info域名所指向的FTP服务器依然可以正常访问,服务器中存放的病毒文件虽然与本次黑客使用的FTP服务器中不同,但是文件名却极其相似。FTP服务器存放文件情况对比,如下图所示:

“隐匿者”病毒团伙技术升级传播病毒,暴力入侵电脑威胁全网用户


FTP文件情况对比图
除此之外,在本次截获的部分病毒样本语言信息为简体中文,与”隐匿者”报告中相同。进而我们可以初步判断,本次攻击事件可能与”隐匿者”黑客组织存在直接关系。本次截获样本(SHA256:46527e651ae934d84355adb0a868c5edda4fd1178c5201b078dbf21612e6bc78)的语言信息,如下图所示:

“隐匿者”病毒团伙技术升级传播病毒,暴力入侵电脑威胁全网用户


病毒样本语言信息
三、样本分析
与隐匿者早期样本相比,近期在野进行传播的隐匿者样本病毒行为已经越来越复杂,所使用的攻击技术也更为底层。例如本文所提到的病毒样本就会感染MBR,并对被篡改后的MBR代码进行保护,从而提高了对该病毒进行查杀的复杂度。
Bootkit/Voluminer
Bootkit/Voluminer病毒运行后会直接写入病毒MBR代码,原始的MBR数据被病毒备份在磁盘的第二个扇区中。其余病毒代码起始位置为第三个扇区,其余病毒代码(除MBR代码外)共占用54个扇区,由于内核平台版本不同(x86/x64),报告中分析内容以病毒在Windows 7(x64)系统中的感染情况为例。被感染后的MBR代码数据,如下图所示:

“隐匿者”病毒团伙技术升级传播病毒,暴力入侵电脑威胁全网用户

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://sskjddosgb11.ddosgb.com//web/26.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 698415访问次数
  • 建站天数
  • 友情链接

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X