一、概述
2018年至今,國內先後有多家安全廠商分別發現幽蟲、獨狼、雙槍、紫狐、貪狼等多個病毒木馬家族,這些木馬利用盜版Ghost系統、激活破解工具、熱門遊戲外掛等渠道傳播,在用戶電腦上安裝Rootkit後門,通過多種流行的黑色產業變現牟利:包括,雲端控制下載更多木馬、強制安裝互聯網軟件、篡改鎖定用戶瀏覽器、刷量、挖礦等等。
自誕生以來,這個超大的病毒團伙和國內眾多殺毒廠商鬥智鬥勇,一個團伙在安全軟件聯合打擊下消退,很快就有一個新的團伙取而代之。
騰訊安全御見威脅情報中心通過多個維度分析幽蟲、獨狼、雙槍、紫狐、貪狼等病毒木馬的技術特點、病毒代碼的同源性分析、C2服務器註冊、託管等線索綜合分析,最終判斷這5個影響惡劣的病毒團伙背後是由同一個犯罪組織操控。
該病毒團伙在2018年7-8月為活躍高峰,當時被感染的電腦在3000萬-4000萬臺之間。之後,該病毒的傳播有所收斂,在2018年8-11月感染量下降到1000萬-2000萬之間。至今,被該病毒團伙控制的電腦仍在200-300萬臺。
傳播趨勢
該病毒團伙的受害者分佈在全國各地,其中廣東、山東、江蘇受害最為嚴重。該病毒團伙受害者地域分佈如下圖所示:
地域分佈
騰訊安全專家最終依靠騰訊安圖高級威脅追溯系統,將多個危害嚴重的病毒家族關聯為一個大團夥,讓人們更清晰的感知到網絡病毒黑產規模之龐大,體系之成熟。
二、超大病毒團伙的發現
騰訊安全專家通過例行的智能分析系統查詢發現,雙槍、紫狐、幽蟲和獨狼系列木馬都被聚類到同一個自動家族T-F-8656。
(注:病毒家族智能分析系統是騰訊安全大數據平臺的子系統,由騰訊安全御見威脅情報中心自主研發,集威脅發現、威脅分析、報告輸出及可視化展示等能力於一身的高級威脅分析系統。自動家族是通過機器學習算法聚類得到的可疑木馬家族,無須人工干預,系統可自動將存在關聯關係的病毒家族聚類到一起。)
智能分析系統
利用智能分析系統從自動家族T-F-8656中篩選出部分關鍵節點,並使用3D模式進行可視化展示,發現幽蟲、獨狼、雙槍、紫狐以及關聯到的盜號、惡意推裝木馬之間聯繫非常緊密,但又層次分明,這一佈局就像有人專門設計的結構。
T-F-8656家族3D可視化展示
進一步將上圖中涉及到的所有信息進行分析整理,可以發現,幽蟲和獨狼木馬通過盜版GHOST系統、系統激活工具、遊戲外掛等多種渠道進行傳播,負責在受害者系統中安裝Rootkit,並將自身進行持久化(通過安裝木馬長時間控制目標系統,業內俗稱“持久化”),然後再通過下載者木馬投遞雙槍、紫狐、盜號木馬等多種惡意程序,同時還在中毒電腦上推廣安裝多個軟件、彈出廣告或刷量。各個木馬家族之間分工明確,環環相扣,組成了一個完整的產業鏈。
幽蟲、獨狼、雙槍、紫狐等木馬組成的產業鏈
三、溯源分析
不僅如此,以上這些木馬還有更深入的聯繫,證明這些傳播廣泛的木馬背後實屬一個網絡犯罪團伙控制。
1.幽蟲==獨狼系列
其他安全廠商披露的幽蟲木馬,實為御見威脅情報中心多次報道的獨狼系列木馬,為保證結果的可靠性,下面我們從不同的維度對此進行交叉驗證。
(1)攻擊手法
在幽蟲和獨狼2的分析報告中都有提到,獨狼2和幽蟲木馬均通過偽裝的系統激活工具進行傳播,利用到的技術手段和最終的獲利方式都如出一轍,同時受害用戶中招之後,受害主機系統信息都被上傳至同一C2域名www.tj678.top。
表1 幽蟲、獨狼2基本信息對比
幽蟲 獨狼2 傳播渠道
系統激活工具 系統激活工具
技術手段 Rootkit、惡意驅動 Rootkit、惡意驅動
獲利方式 惡意推裝、鎖主頁 惡意推裝、鎖主頁
C2 www.tj678.top www.tj678.top
(2)驅動代碼相似同源
獨狼木馬和幽蟲木馬的驅動代碼相似度極高,如下圖所示:
獨狼驅動部分代碼
幽蟲驅動部分代碼
如下圖所示,對比獨狼木馬和幽蟲木馬驅動的關鍵函數代碼流程圖,發現它們的整體流程基本一致,可以確定它們屬於同一木馬家族。
關鍵函數代碼流程
(3)pdb名稱
通過騰訊安圖高級威脅追溯系統進行查詢,可以看到,幽蟲木馬和獨狼1木馬的pdb名稱完全一致。
幽蟲木馬pdb名稱
獨狼木馬pdb名稱
(4)樣本簽名
幽蟲木馬和獨狼木馬的部分樣本數字簽名如下表所示,可見它們重複盜用相同的數字簽名。
表2 幽蟲、獨狼木馬簽名對比
家族名 MD5 簽名
幽蟲
01ccb04891ef1c19a5d750e79b3e2dac 浙江恆歌網絡科技有限公司 31aee7df1b47a6183061d94e6479e551 Beijing Founder Apabi Technology Limited b98b041ae51316cd0f544900ccbf76a4 GLOBAL BENEFIT NETWORK COMPANY LLC
獨狼 0cea624e48f20f718198ab7349bb1eea 浙江恆歌網絡科技有限公司 419f1f778e1405354fd34e5293edd52d Beijing Founder Apabi Technology Limited a0daebcd97f1ddc5c9cce3b838c39bb7 雙雙 何 綜上所述,幽蟲木馬和獨狼木馬其實屬於同一個木馬家族,並出自同一作者之手的可能性極大。
2.一根繩子上的螞蚱
前面已經給出了充分的證明表示,幽蟲木馬和獨狼木馬屬於同一個木馬家族,並且出自同一作者之手。那麼雙槍、紫狐、貪狼是否也與該作者存在更深層次的聯繫呢?
為了幫助大家理清思路,首先,整理出各個木馬家族的基本信息。
表3 各木馬家族基本信息
家族名 傳播渠道 技術手段 惡意行為 幽蟲&獨狼
盜版GHOST系統、系統激活工具、遊戲外掛 Bootkit/Rootkit、惡意驅動程序、盜用數字簽名 主頁鎖定、刷量、傳播盜號木馬、惡意推裝
雙槍 (外掛幽靈) 遊戲外掛、下載站、第三方流氓軟件 Bootkit/Rootkit、惡意驅動程序、盜用數字簽名、利用公共網絡服務(比如百度貼吧服務器) 鎖主頁、瀏覽器劫持、盜號、惡意推廣、下發惡意程序
紫狐 (外掛幽靈) 遊戲外掛、下載站 惡意驅動程序 惡意推裝
貪狼 盜版GHOST系統 Rootkit、惡意驅動程序、盜用數字簽名 鎖主頁、瀏覽器劫持、刷量、挖礦、網絡攻擊、下發惡意程序由上表可見,這幾個木馬在傳播渠道、技術手段、惡意行為上相似而又不盡相同,無法簡單地判斷它們是否是同一作者所為。
接著,再挑選各個木馬家族的部分代表性樣本,並提取它們的簽名信息,如下表所示:
表4 各木馬家族簽名信息
家族名 MD5 簽名
幽蟲&獨狼 01ccb04891ef1c19a5d750e79b3e2dac 浙江恆歌網絡科技有限公司 31aee7df1b47a6183061d94e6479e551 Beijing Founder Apabi Technology Limited b98b041ae51316cd0f544900ccbf76a4 GLOBAL BENEFIT NETWORK COMPANY LLC a0daebcd97f1ddc5c9cce3b838c39bb7 雙雙 何
雙槍 fc0d16ffc6d384493cc4b31bba443c4a 浙江恆歌網絡科技有限公司 cfe79da256441e45195d6f47049cb2a8 Beijing Founder Apabi Technology Limited 97f904690c228077c77d17fe675546c9 上海域聯軟件技術有限公司
貪狼 2ecee431a394538dd8b451b147d684ad Hubei Xianning Wantong Security Engineering Co., LTD
幽蟲&獨狼與雙槍木馬使用的大部分簽名是一樣的,貪狼則使用不一樣的簽名信息。從盜用的簽名上看,幽蟲&獨狼和雙槍木馬存在著很大的貓膩,而貪狼則貌似很“清白“。
友商曾於2018年10月份披露過,通過對比”貪狼“和多個版本的”雙槍“的pdb,可以發現“雙槍“中進行流量劫持的模塊”AppManage.dll“與”貪狼“中實現相同功能的模塊”AppManage.dll“出自同一木馬作者之手,如下圖所示,它們的pdb名稱極其相似,並且頻繁出現”ppzos“和”ivipm“字眼。
雙槍、貪狼pdb對比
雙槍、貪狼pdb對比
而進一步通過騰訊安圖高級威脅追溯系統進行關聯發現,ppzos.com和ivipm.com的多個子域名均為雙槍的C2,而且都在2018年8月~9月之間解析到了同一個ip地址103.35.72.205。
雙槍C2
另外,在差不多的時間節點,ppzos.com,ivipm.com等子域名又與貴陽市海雲世紀科技有限公司的多個站點解析到同一個ip地址121.42.43.112。
雙槍C2
貴陽市海雲世紀科技有限公司曾通過其公司官網www.qhaiyun.com利用開心輸入法等產品傳播雙槍木馬,而該公司的產品點點輸入法安裝包的pdb名稱與雙槍、貪狼pdb名稱高度相似,工程項目的父目錄都在”E:\Code\Ivipm\source”和”E:\Code\ppzos\source”之下。
開心輸入法pdb
表5 雙槍、貪狼、開心輸入法pdb對比
名稱 PDB路徑 貪狼_AppManage.dll E:\Code\Ivipm\source\AppManger\AppManger\\x64\Release\AppManage.pdb 雙槍_AppManage.dll E:\Code\ppzos\source\AppManger\AppManger\\x64\Release\AppManage.pdb DDpxSetup19525_10057.exe(雙槍) E:\Code\Ivipm\source\diandianpy \Dianinstall \Release\DiandianpySetup.pdb
可以更進一步地證明,雙槍和貪狼確實出自同一作者之手,該病毒作者與貴陽市海雲世紀科技有限公司之間的存在相關性。
通過“天眼查”檢索發現該公司目前已被註銷。
貴陽市海雲世紀科技有限公司註冊信息
而該公司旗下的多個站點已變成博彩網站,這可能意味著病毒作者在獲得豐厚收益之後,有疑似跑路的嫌疑。
官網變博彩站點
綜上,可以確定幽蟲&獨狼、雙槍、紫狐和貪狼木馬其實出自同一團伙(作者)。為了方便回顧,將該團伙使用的各個木馬家族之間的關係使用韋恩圖整理如下:
該團伙的產業鏈整理如下圖所示:
四、解決方案
1.建議網民使用正規軟件,儘量不要下載運行各類外掛輔助工具,外掛和遊戲輔助工具是病毒木馬、違規軟件傳播的主要渠道之一。
2.幾乎所有外掛網站都會誘導、欺騙遊戲玩家退出或關閉殺毒軟件後再運行外掛。一旦照辦,殺毒軟件有很高的概率被隱藏在外掛中的病毒木馬破壞,從而令電腦失去安全防護能力。
3.激活工具、Ghost鏡像歷來都是Rootkit病毒傳播的重要渠道,“獨狼”Rootkit系列病毒具有隱蔽性強,反覆感染,難查殺的特點。建議用戶使用正版操作系統,如果殺毒軟件報告發現激活破解補丁帶毒,建議停止使用。
IOCs(注:由於IOC過多,這裡只給出部分未披露的IOC)
紫狐
f.pbipkierrqom.life
m.pbipkierrqom.life
l.pbipkierrqom.life
2.pbipkierrqom.life
6.pbipkierrqom.life
4.pbipkierrqom.life
8.pbipkierrqom.life
h.pbipkierrqom.life
5.pbipkierrqom.life
a.pbipkierrqom.life
9.pbipkierrqom.life
c.pbipkierrqom.life
i.pbipkierrqom.life
k.pbipkierrqom.life
g.pbipkierrqom.life
j.pbipkierrqom.life
e.pbipkierrqom.life
d.pbipkierrqom.life
0.pbipkierrqom.life
arildsdsxqls.info
216.250.99.26
216.250.99.42
雙槍
white.icbc1234.com
white1.icbc1234.com
white2.icbc1234.com
125.7.29.26
幽蟲&獨狼
www.dqzsy.com
123dh.579609.com
www.taolea.top
dl.taolea.top
update.taolea.top
貪狼
e1.nchiu.com
e2.nchiu.com
m1.nchiu.com
m2.nchiu.com
閱讀更多 Whitezero 的文章
