• 首頁 > 信息安全 > 正文

    國內“雙槍”僵尸網絡利用百度貼吧圖像進行分發

    2020-05-29 10:59:11  來源:FreeBuf

    摘要:玩個游戲也能被黑客盯上?電腦設備一不小心就淪為“肉雞”。僵尸網絡潛藏在人們的日常生活中,表面看似波瀾不驚,實則暗潮涌動。
    關鍵詞: 僵尸 網絡
      玩個游戲也能被黑客盯上?電腦設備一不小心就淪為“肉雞”。僵尸網絡潛藏在人們的日常生活中,表面看似波瀾不驚,實則暗潮涌動。
     
      三年內感染規模超10萬
     
      “雙槍”木馬是針對windows系統的大規模惡意木馬。自2017年7月開始活動,在過去三年中,“雙槍”木馬影響范圍較小,但是隨著規模的逐步擴大,如今,該木馬病毒已經已經活躍于國內各大社交網站和游戲論壇。
     
      “雙槍”木馬主要是通過網絡共享誘餌應用程序進行分發,為社交網絡和游戲論壇提供盜版游戲,使用MBR和VBR引導程序感染用戶設備,安裝各種惡意驅動程序,并在本地應用程序竊取憑據。
     
      “雙槍”木馬的惡意行為主要包含以下三種:
     
      向用戶發送廣告和垃圾郵件的惡意功能,在用戶設備劫持賬號,并以此發送和傳播廣告;
     
      從合法的電商網站劫持流量,并將感染用戶定向引導到指定網站,目前該功能已刪除;
     
      禁用網絡安全軟件。
     
      “雙槍”木馬近年來屢次開展大規模互動,屢屢被曝光和打擊后仍可死灰復燃,由此可見其根基“深厚”,規模龐大。
     
      關閉部分僵尸網絡后端基礎架構,其中大部分都在使用百度的貼吧圖像托管服務,部分使用了阿里云存儲托管配置文件。
     
      通過樣本溯源可以看到,這次大規模感染主要是通過誘導用戶安裝包含惡意代碼的網游私服客戶端,具體感染方式大體分為兩種,一是啟動器內含惡意代碼,二是DLL劫持。
     
      啟動器內包含惡意代碼方式可分為三個感染階段:
     
      用戶下載含惡意代碼的私服客戶端并執行,惡意代碼訪問配置信息服務器后,從貼吧下載并加載cs.dll最新版惡意程序;
     
      cs.dll 會進行一些簡單的虛擬機和殺軟對抗,利用百度統計服務上報 僵尸網絡信息,釋放第3階段VMP加殼的驅動程序;
     
      所有敏感的配置信息都保存在驅動內部,DLL通過調用驅動來獲得配置服務器相關信息,根據下載的配置信息去百度貼吧下載其它惡意代碼,進行下一階段的惡意活動。
     
      DLL劫持感染方式依然是以私服客戶端為載體,多款類似游戲的私服客戶端的組件photobase.dll 被替換成同名的惡意DLL文件,執行可分為兩個階段:
     
      首先會釋放相應架構的惡意驅動程序,然后注冊系統服務并啟動;
     
      加載真正的 photobase.dll 文件,并將導出函數轉發到真正的 photobase.dll。
     
      過去三年來,“雙槍”一直在從百度貼吧下載圖像。這些圖像包含秘密代碼(使用一種稱為隱寫術的技術隱藏在圖像內部),該代碼為“雙槍”僵尸網絡提供了感染主機執行操作的指令。
     
      在過去的兩個星期中,360聯手百度追蹤打擊“雙槍”木馬,一直在刪除“雙槍”使用的圖像,并記錄來自受感染主機的鏈接,因此發現僵尸網絡規模巨大。目前,僵尸網絡規模估計為“數十萬” ,打擊活動在持續進行中。
     
      在此提醒廣大讀者,不要隨意點擊陌生鏈接或者下載未知的應用程序,避免感染惡意木馬,淪為“肉雞”。

    第三十屆CIO班招生
    法國布雷斯特商學院碩士班招生
    北達軟EXIN網絡空間與IT安全基礎認證培訓
    北達軟EXIN DevOps Professional認證培訓
    責編:zhangwenwen
    在线aav片线 - 视频 - 在线观看 - 影视资讯 - 莹莹网