前言
"過啟動"、"過網購"、"單文件"……這些流傳於黑產木馬團伙中的專有名詞,旨在體現作者其"高超技術"。與之相對應的,則是受害者的網銀被盜刷,遊戲賬號被盜,隱私被竊取時的"悲慘遭遇"。
遠控木馬傳播方式有很多種,其中一類主要依託於即時通訊類軟件(如QQ、微信、YY等),通過社會工程學對特定對象進行攻擊,我們稱其為"假面遠控"。其攻擊的目標則主要選擇網絡遊戲玩家或網銀用戶。具體的攻擊流程通常是將惡意程序偽裝為圖片、文檔發送給目標用戶,有時也會製作虛假程序安裝包,通過投遞下載站,搭建虛假網站方式騙取用戶下載。與此同時,木馬製作團伙也會持續與安全廠商進行對抗。這其中包括代碼層面從加單加殼到強加殼加密,文件碎片化的演變;執行方式上從落地啟動到動態加載的演變;通信層面不斷更新遠控通訊協議,從直接上線轉為間接方式獲取上線信息的演變;乃至對合法應用的劫持幾乎也不斷推陳出新,甚至演變出了利用偽造的材料騙取證書頒發機構頒發虛假證書的手段。
在這條黑色產業鏈內部,有著明確的角色區分:有木馬作者、有銷售平臺、有傳播者、有銷贓者……從惡意代碼的製作到最終的獲利組建了一條完整的鏈條。
運作分析
木馬的製作
負責該環節的人即是木馬作者,他們製作"免殺"木馬後出售給"購買者",並在一定時間內提供維護和更新。我們通過對現有"免殺"木馬的編譯器特徵檢測,發現其中"易語言"佔很大比例,這可能是其包含的工具庫豐富從而開發速度快以及學習門檻較低等原因所致。
木馬的銷售
木馬的銷售常見的有通過架設網站公開宣傳銷售的,如下圖,
也有通過貼吧,QQ群,論壇等向固定人群銷售的。一些"高端"遠控也會選擇只向老客戶以及"熟人介紹"方式的小範圍內銷售,一些"免殺"遠控目前的市場價格已經達到約5000元/月。
木馬的傳播
"攻擊者"拿到了"免殺"木馬之後,就會想辦法向目標進行投遞。最常用的傳播方式有下面幾種:
1. 通過在遊戲大廳發廣播,論壇貼廣告的形式,誘騙用戶通過聊天工具聯繫攻擊者。之後利用QQ、微信、YY客戶端等進行傳播。這種方式成功率較高,而且目標性很強,為了更好的欺騙目標用戶,木馬程序會使用比較具有"針對性"的名稱。
2. 捆綁在正常軟件、遊戲外掛中,通過下載站、網盤進行傳播。
3. 在搜索引擎購買關鍵詞,通過釣魚網站傳播。這類傳播方式中,木馬一般捆綁在相應遊戲的客戶端中。
4. 此外,有少部分木馬還會通過社區論壇,郵件等形式進行傳播。
受害者畫像
我們通過對中招用戶的數據進行統計分類,其人群劃分大致如下:
較為流行的假面遠控團伙
· TorchWood主要成員來自江蘇、廣東、黑龍江、吉林一帶。2014年開始活躍,以用戶"網銀"為主要攻擊目標。比較典型的攻擊案例是"使用CHM格式文件攻擊目標用戶",後期逐漸轉向通過聊天軟件發送木馬,以誘導性的文件名稱欺騙用戶點擊。
· GamePatch主要成員來自廣州。2015年開始活躍,善於使用大量腳本對攻擊中的各種攻擊動作進行銜接和跳轉,通常將製作的遠控木馬捆綁於其他軟件中,常見的如"影音視頻"、"棋牌遊戲"、"私服客戶端"等。
· YuanBao主要成員來自湖北。2016年開始活躍,17年開始使用"CHM文檔攻擊",後來自行架設網站,販賣所謂的"企業遠控"。從18年開始,開始通過替換用戶計算機中常用軟件的方式進行對抗,對抗更新頻繁。
2018年上半年假面遠控團伙技術對抗時間線
2018年1月:帶有簽名的應用劫持技術開始被廣泛使用(知名事件如IVT簽名應用劫持和shunwang簽名應用劫持等)。
2018年3月:木馬生成的應用劫持文件體積開始膨脹對抗安全軟件檢測。
2018年4月:假面遠控開始嘗試利用網絡阻斷技術對抗安全軟件查殺。
2018年5月:木馬嘗試使用Lnk方式執行命令,企圖繞過安全軟件監控。
2018年6月起:假面遠控的遠端通信協議開始持續變化,與安全軟件開始了持續性的協議對抗。
2018年7月:大量假面遠控開始以 "Downloader"的形式出現,從遠端服務器下載載荷到本地執行。此手法可以有效縮小木馬自身體積方便傳播,同時更加靈活的更新惡意代碼。存放載荷的服務器後多轉變為免費虛擬主機或是被入侵其他站點。
2018年7月:同時出現強殼加密、"模擬鼠標鍵盤消息"方式啟動木馬、使用虛擬機檢測技術等手段,說明假面木馬已經開始大量吸取其他類型木馬的特性來提高自己的隱蔽性和與安全軟件對抗的能力。
在此期間,木馬作者使用了包括灰鴿子、forshare、小松鼠、大灰狼、gh0st、白金等數款遠控軟件,其更新頻率由最初的每週更新逐漸轉為每半天更新。
竊取用戶財產與隱私信息
攻擊開始之後,攻擊者一般會通過盜刷網銀賬戶、轉移虛擬財產、竊取用戶隱私數據等方式獲取有價值內容,這也是攻擊者"回本"的階段。這個過程可能在幾個小時或者幾天內完成。
"網銀"的竊取
"網銀"被竊取的情況大致分為:
1. 中毒機器接入了第三方支付平臺
2. 中毒機器開通了支付系統
3. 中毒機器內保存的身份證、預留手機號、姓名、銀行卡號等重要信息洩漏
其中,第1,2種情況下,受害人多為小商家或淘寶賣家人群。攻擊者以類似於商業活動一類的藉口接近受害者並騙取信任。一旦植入假面遠控成功,則會將受害者錢款轉入"非法獲得的他人銀行賬戶",之後再想辦法通過其他途徑最終流到自己口袋。
而對於第3中情況,通常經過"渠道代理"進行"代扣"操作,之後扣除"返點"拿到剩下的欠款。
"虛擬財產"的竊取
對於虛擬數據來講,通過平臺內部的"自由交易"方式獲取遊戲財產後賣掉,或者直接出售掉被盜用戶的賬戶。
結語
隨著信息化的普及與安全軟件的發展,以假面遠控為代表的較為典型的"傳統惡意程序"作者們也不會再僅僅專注於木馬本身的開發和 "免殺"。各種新的攻擊手法和攻擊目標也將成為他們的拓展方向。
以近幾年的對抗形勢來看:
1. 應用劫持技術已然成為一大趨勢。利用系統或各類軟件的功能,使用各種手段拼接實施攻擊。接下來的發展會成為木馬應用劫持技術與安全廠商查殺技術之間的一場博弈。
2. 木馬針對性更強。越來越多的木馬團伙不再延續以往"撒網捕魚"式的求量不求質的低轉化率傳播模式,而是變為更有針對性的點對點投放。對特定人群進行特定的針對性投放攻擊——更精準的打擊也帶來更高的轉化率。
3. 更頻繁的迭代。專業的團隊、明確的分工、完整的產業鏈,所帶來的會是更高的利益轉化率。而這又勢必刺激這個產業鏈的從業者更加勤奮的參與到與安全廠商的對抗中。今後木馬的變種頻率和技術水平,也都會進入到一個更高的迭代速度。
我們更會持續的跟蹤、分析黑色產業並與之對抗,維護互聯網安全。
相關擴展閱讀
《遠控木馬巧設"白加黑"陷阱:瞄準網店批發商牟取錢財》:
《PotPlayer播放器極致優化版木馬分析報告》:
《007黑客組織及其地下黑產活動分析報告》:
《棋牌遊戲木馬》:https://www.anquanke.com/post/id/146848
《常用軟件劫持》:https://mp.weixin.qq.com/s/rd0ifs-cGmHpcoe-YlKwUw
閱讀更多 360安全衛士 的文章
