腾讯安全盘点年度顽固病毒事件 三大对抗手段成
分类:彩世界彩票注册平台官网

其实,这类病毒就是顽固病毒家族的一种。该类病毒木马采用刷流量、锁主页、恶意推广、网络攻击、挖矿等变现方式牟利,给用户的信息及财产安全造成严重威胁。在此背景下,腾讯安全详细盘点过去一年各类顽固病毒木马入侵事件,从其获利变现方式、传播渠道、以及对抗技术、典型案例等方面展开,全面剖析Bootkit/Rootkit 病毒家族的主要态势及变化趋势,并为广大企业及个人用户防范顽固病毒木马提供了实用建议。

图片 1

同时,他详细阐述每一阶段的技术特点和应对方法,如在云控传播阶段,病毒修改的主页等信息全部存放在云端,均由云端来进行控制,常用的解决方案是利用威胁情报切断C&C和常规防御等。

纵观整个2018年,利用顽固病毒发动的网络攻击愈发频繁。从“独狼一代”到“暗云变种”再到“外挂幽灵”团伙,顽固病毒逐渐与广大用户生活息息相关,严重威胁用户网络安全。

初识“霸天虎”

在徐超看来,黑产技术和反安全软件的快速发展逐渐与安全软件展开激烈的对抗。一方面是不法黑客基于主页技术,围绕注册表、注册表的对抗进阶、快捷方式、假IE、第三方浏览器、Explorer的HOOK、以及其他的其他奇淫异巧等阶段展开对抗。

(图:带毒盗版Ghost系统广告竞价排名)

幽虫木马与双枪木马使用的大部分签名是一样的,贪狼则使用不一样的签名信息。从盗用的签名上看,幽虫木马和双枪木马存在着很大的猫腻,而贪狼则貌似很“清白“。

七大黑产技术特征:招数“诡计多端”前所未见

不止于普通用户,顽固病毒还会通过弱口令爆破、漏洞利用等入侵方式集中攻击企业用户。近年来,随着挖矿木马、勒索病毒的兴起,挖矿勒索等病毒为了提升查杀难度,获得更早的执行机会,也会与顽固病毒进行捆绑传播。

独狼驱动部分代码

腾讯智慧安全技术专家徐超受邀参会,并发表题为《流量的战争:探寻安全软件和恶意病毒的对抗史》的演讲,分别从技术和传播等对抗角度讲解,分享腾讯安全在防御恶意软件方面的实战经验。徐超表示,随着互联网的普及度逐渐提高,流量劫持类黑产危害不容小觑。一方面对被劫持流量的网站来说,网站访问量将大大降级;另一方面站在用户角度来说,流量劫持不仅严重影响了原来产品的服务与体验,甚至还会带来一定的网络安全隐患。因而,恶意软件与安全软件之间的对抗变得极为激烈。对此,他从传播和技术两方面对恶意软件展开深度剖析。

顽固病毒三大技术对抗手段:拦截过滤、对抗杀软、自保护

图片 2

除此以外,面对近年来频发的勒索病毒、漏洞病毒、网络诈骗等主流网络攻击手段,腾讯电脑管家不断增强和完善文档守护者、漏洞修复、诈骗信息查询三大安全能力,在深层的安全防护能力上将为用户带来更安全的使用体验。

图片 3

腾讯安全称,通过多个维度分析幽虫、独狼、双枪、紫狐、贪狼等病毒木马的技术特点、病毒代码的同源性分析、C2服务器注册、托管等线索综合分析,最终判断这5个影响恶劣的病毒团伙背后是由同一个黑客组织操控。

近年来,计算机病毒在传播方式和途径上呈现多样化趋势更加明显。病毒的入侵主要来自蠕虫病毒,集病毒、黑客、木马等功能于一身的综合型病毒不断涌现,具备欺骗性增强、破坏方式更加多样、传播速度快、制作成本降低、变种增多、传播更具不确定性和跳跃性、具有版本自动在线升级和自我保护能力、以及编制采用了集成方式的一系列特点。

综合整个《报告》可以看出,顽固病毒凭借隐蔽性强、反复感染、难以查杀等特点,逐渐成为黑产分子惯用攻击方式之一。腾讯安全对此建议用户务必提高网络安全意识,保持腾讯电脑管家等安全软件实时开启状态。如果用户已经中招,在用杀毒软件查杀过程中被强制重启,导致杀毒过程终端无法彻底清除该病毒时,可以使用腾讯电脑管家PE版急救箱进行查杀,可彻底查杀顽固病毒。

病毒团伙的庐山真面目

七大病毒传播阶段:病毒“综合实力”不断上升

CNII网讯 相信很多网友都曾有过这样的遭遇:电脑中毒后浏览器主页莫名被篡改,时不时会推出各类推广链接,使用杀毒软件无法将其斩草除根,即便格式化重装系统后也会卷土重来,犹如“狗皮膏药”一般赖在电脑中,令中招用户苦不堪言。

图片 4

针对日益严峻的顽固木马形式,腾讯智慧安全守护行业的同时,在用户侧也推出了相关的工具,例如腾讯电脑管家急救箱功能,通过深入系统底层,对病毒样本高危行为实现精准拦截及查杀,实现顽固木马彻底清除。当用户发现电脑疑似中招顽固木马,或者普通杀毒无法检出或者清理时,使用该功能可对电脑成功实施“急救”。同时配合bootclean清除技术、rootkit通杀等功能,可对电脑中存在的顽固病毒、深度隐藏病毒而开发的病毒木马彻底完成查杀。

以“外挂幽灵”团伙为例,去年10月,腾讯安全御见威胁情报中心监测发现,“外挂幽灵”团伙利用七哥辅助网等多个游戏辅助网站传播“双枪”、“紫狐”等木马病毒。这些网站提供的多款游戏外挂工具会私自携带多个木马病毒,在安装过程中会释放锁主页程序、开心输入法和“紫狐”木马下载器等恶意程序,给用户造成不必要的经济损失和麻烦。

该团伙的产业链整理如下图所示:

在技术对抗中,顽固木马由于具备隐蔽性高、破坏力强,且传统查杀方式无法根除的技术特征,引发的威胁尤为严重。不法黑客通过构造僵尸网络、抢夺浏览器主页、静默推装软件等牟取到巨额利益,使普通网民的系统安全遭受严峻的安全威胁。

事实上,目前该类病毒木马的传播渠道已呈多元化发展。作为病毒传播的重要载体,盗版Ghost系统通过广告竞价排名获得网络访问量以吸引用户下载安装内嵌病毒的软件,最终劫持主页等手段进行获利;同时盗版激活工具、游戏外挂及各类下载器,针对特定目标人群发动定向攻击;另外第三方流氓软件也是顽固病毒的重要传播渠道,以看似“正常”的软件诱导用户下载,继而向用户电脑上安装病毒文件。

由上表可见,这几个木马在传播渠道、技术手段、恶意行为上相似而又不尽相同,无法简单地判断它们是否是同一作者所为。

8月21日-8月22日,由中国互联网协会、阿里巴巴集团、蚂蚁金服、阿里云等单位共同主办的“2018网络安全生态峰会”在国家会议中心举办。本届大会以“共建安全防线、共治安全环境、共享安全生态”为主题,邀请相关协会领导、工程院院士、国内外网络安全产业界知名人士分享观点,希望汇众智聚众力,共同促进产业健康有序发展。

(图:腾讯电脑管家急救箱)

图片 5

以不法黑客利用Apache Struts2的高危漏洞攻击大量企业web服务器为例,不法黑客利用攻击工具WinStr045检测网络上存在漏洞的web服务器,通过远程执行各类指令进行提权、创建账户、系统信息搜集,然后将用于下载的木马mas.exe植入,进而利用mas.exe的木马下载器从多个C&C地址下载更多木马,给企业网站的安全构成巨大的威胁。

图片 6

图片 7

另一方面是病毒与杀软之间的对抗,主要体现在增强病毒自身的自保护能力及削弱杀软的查杀能力两个方面。其不仅利用MD5对抗、文件名对抗、抢早、重定向、隐藏自身、设置守护线程等方法增强病毒自身的自保护能力,而且还通过阻止联网、针对性文件过滤拦截、删除杀软驱动注册表服务项、删除杀软注册表启动组、rootkit回调注册表、拦截安全软件进程、以及隐藏安全软件界面等方法来削弱杀软的查杀能力。

(图:独狼Rootkit过滤点)

请看下表:

徐超表示,病毒在传播渠道上的对抗也经历了不小的变化,从病毒传播的演变进程来看,总体经历了以下七个阶段:直接进行阶段、捆绑传播、装可怜、正规软件做载体、云控传播、Ghost传播、以及烧主板。可以看出,病毒传播呈现隐蔽性强、散布广泛、危害性大等显着特征。

作为2018年最为活跃的病毒木马,顽固病毒木马具备启动早、隐蔽性高、反复感染等显著特点,从而横行网络。值得一提的是,病毒作者从入侵过程中发现系列变现获利之道,一度让普通用户蒙受重大经济损失。

4月29日,腾讯安全发文称终于揪出了这个年度最大的黑产界“霸天虎军团”。

图片 8

双枪C2

(图:顽固病毒木马主要变现获利方式)

从自动家族T-F-8656中筛选出部分关键节点,并使用3D模式进行可视化展示后,发现幽虫、独狼、双枪、紫狐以及关联到的盗号、恶意推装木马之间联系非常紧密,但又层次分明,这一布局就像有人专门设计的结构。

网络攻击威胁不断加剧 技术创新守护用户网络安全

通过天眼查查询,宅客频道发现该公司目前已经处于注销状态。腾讯安全称,经调查发现该公司旗下的多个站点已变成博彩网站,这可能意味着病毒作者在获得丰厚收益之后,暂时转行避风,以逃避网安机构的查处。

对此,《报告》提醒企业用户,尽量关闭不必要的文件共享和端口,对重要文件和数据进行定期非本地备份;采用高强度的密码,同时对没有互联需求的服务器/工作站内部访问设置相应控制。

独狼木马pdb名称

其次,为躲避杀软查杀,病毒作者采用各种手段完成对抗,包括病毒文件名随机化、阻止杀毒软件进程启动、设备占坑、阻断联网、重定向、禁写BCD配置文件等升级技术等。此外,病毒作者会采用“自保护“方式,通过阻止或者隐藏自身注册表以达到自保护的目的。

进一步调查显示,该病毒团伙的受害者分布在全国各地,其中广东、山东、江苏受害最为严重。该病毒团伙受害者地域分布如下图所示:

数据显示,目前顽固病毒的主要变现获利包括锁主页、刷流量、恶意推广等方式,占比前三的依次为35%、30%、18%。随着挖矿黑产的兴起,挖矿获利已上升至10%,暗云新变种等Bootkit木马也转投挖矿获利。

可见,各个木马家族之间分工明确,环环相扣,组成了一个完整的产业链。

图片 9

图片 10

《报告》指出,该类病毒作者不断提升拦截过滤、对抗杀软、自保护等技术实现对抗杀软。首先,顽固病毒木马作者通过注册各种各样的回调、hook系统相关函数,以合适的时间获得执行机会,在回调函数中完成相关的拦截过滤功能,直接拦截包括文件过滤、网络过滤等文件。

这次的大反派自2018年起,通过幽虫、独狼、双枪、紫狐、贪狼等多个病毒木马家族,利用盗版Ghost系统、激活破解工具、热门游戏外挂等渠道传播,在用户电脑上安装Rootkit后门。

顽固病毒“花式”获利 游戏外挂工具成“重灾区”

图片 11

图片 12

双枪、贪狼pdb对比

图片 13

图片 14

“喜欢就赶紧关注我们”

作为经典科幻影片之一,《变形金刚》广受影迷们的喜爱。影片中,令人印象深刻的除了正义的汽车人小分队,霸天虎军团作为反派同样是声名远扬。

双枪C2

图片 15

图片 16

先从幽虫木马开始。

以威震天为首领,霸天虎与汽车人的恶斗场面组成了《变形金刚》系列的经典片段,并最终被人们铭记脑海。

关键函数代码流程

3. 激活工具、Ghost镜像历来都是Rootkit病毒传播的重要渠道,“独狼”Rootkit系列病毒具有隐蔽性强,反复感染,难查杀的特点。建议用户使用正版操作系统,如果杀毒软件报告发现激活破解补丁带毒,建议停止使用。

幽虫驱动部分代码

幽虫木马与其之前公布的独狼属于同一个木马家族,并出自同一作者之手。那么双枪、紫狐、贪狼是否也与该作者存在更深层次的联系呢?

专注先锋科技领域,讲述黑客背后的故事。

你以为上述场景,仅存在于电影当中?不,其实在网络安全领域类似故事也在上演。

图片 17

自诞生以来,这个超大的病毒团伙和国内众多杀毒厂商斗智斗勇,一个团伙被打退,很快就有新的团伙取而代之,其真面目则一直是个谜。

2018年10月,有安全厂商披露,通过对比贪狼木马和多个版本双枪木马的pdb,可以发现双枪中进行流量劫持的模块AppManage.dll与贪狼中实现相同功能的模块。而AppManage.dll则出自同一木马作者之手,并且频繁出现”ppzos“和”ivipm“字眼。

图片 18

既然确定了攻击出自同一病毒团伙,那它的真面目又是什么?其背后是否真的有一个完善的网络犯罪团伙在运作?我们且看下面的具体分析。

据悉,该病毒团伙在2018年7-8月为活跃高峰,当时被感染的电脑在3000万-4000万台之间。之后,该病毒的传播有所收敛,在2018年8-11月感染量下降到1000万-2000万之间。至今,被该病毒团伙控制的电脑仍在200-300万台。

1. 建议网民使用正规软件,尽量不要下载运行各类外挂辅助工具,外挂和游戏辅助工具是病毒木马、违规软件传播的主要渠道之一。

进一步对上图中涉及的所有信息进行分析整理,可以发现,幽虫和独狼木马通过盗版GHOST系统、系统激活工具、游戏外挂等多种渠道进行传播,负责在受害者系统中安装Rootkit,并将自身进行持久化(通过安装木马长时间控制目标系统,业内俗称“持久化”),然后再通过下载者木马投递双枪、紫狐、盗号木马等多种恶意程序,同时还在中毒电脑上推广安装多个软件、弹出广告或刷量。

而进一步进行关联发现,ppzos.com和ivipm.com的多个子域名均为双枪的C2,而且都在2018年8月~9月之间解析到了同一个ip地址103.35.72.205。此外,在差不多的时间节点,ppzos.com,ivipm.com等子域名又与贵阳市某云世纪科技有限公司的多个站点解析到同一个ip地址121.42.43.112。

综上,可以确定幽虫、双枪、紫狐和贪狼木马其实出自同一团伙。为了方便回顾,将该团伙使用的各个木马家族之间的关系使用韦恩图整理如下:

接着,再挑选各个木马家族的部分代表性样本,并提取它们的签名信息,如下表所示:

图片 19


宅客频道了解到,腾讯安全专家通过例行的智能分析系统查询发现,双枪、紫狐、幽虫和独狼系列木马都被聚类到同一个自动家族T-F-8656。

正如上述,该团伙通过木马病毒安装Rootkit后门,通过多种流行的黑色产业变现牟利。其“业务”包括,云端控制下载更多木马、强制安装互联网软件、篡改锁定用户浏览器、刷量、挖矿等等。

值得一提的是,腾讯安全发现独狼和幽虫木马的驱动代码相似度极高。对比独狼和幽虫木马驱动的关键函数代码流程图,发现它们的整体流程基本一致; 其次,二者的pdb名称和数字签名也完全一致,可见它们重复盗用相同的数字签名。

幽虫木马pdb名称

图片 20

2. 几乎所有外挂网站都会诱导、欺骗游戏玩家退出或关闭杀毒软件后再运行外挂。一旦照办,杀毒软件有很高的概率被隐藏在外挂中的病毒木马破坏,从而令电脑失去安全防护能力。

长按下图二维码并识别关注

Ok,到此为止“霸天虎军团”总算是露出了庐山真面目——贵阳市某云世纪科技有限公司。

雷锋网旗下业界报道公众号。

如何防止被攻击?

图片 21

图片 22

那么,如何防止被该病毒团伙攻击呢?在此,腾讯安全给到我们几点建议:

宅客『Letshome』

双枪、贪狼pdb对比

图片 23

图片 24

本文由彩世界注册首页发布于彩世界彩票注册平台官网,转载请注明出处:腾讯安全盘点年度顽固病毒事件 三大对抗手段成

上一篇:把未来300年的事都计划好了,孙正义是天才还是 下一篇:没有了
猜你喜欢
热门排行
精彩图文