首页 > 信息安全 > 正文

国内“双枪”僵尸网络利用百度贴吧图像进行分发

2020-05-29 10:59:11  来源:FreeBuf

摘要:玩个游戏也能被黑客盯上?电脑设备一不小心就沦为“肉鸡”。僵尸网络潜藏在人们的日常生活中,表面看似波澜不惊,实则暗潮涌动。
关键词: 僵尸 网络
  玩个游戏也能被黑客盯上?电脑设备一不小心就沦为“肉鸡”。僵尸网络潜藏在人们的日常生活中,表面看似波澜不惊,实则暗潮涌动。
 
  三年内感染规模超10万
 
  “双枪”木马是针对windows系统的大规模恶意木马。自2017年7月开始活动,在过去三年中,“双枪”木马影响范围较小,但是随着规模的逐步扩大,如今,该木马病毒已经已经活跃于国内各大社交网站和游戏论坛。
 
  “双枪”木马主要是通过网络共享诱饵应用程序进行分发,为社交网络和游戏论坛提供盗版游戏,使用MBR和VBR引导程序感染用户设备,安装各种恶意驱动程序,并在本地应用程序窃取凭据。
 
  “双枪”木马的恶意行为主要包含以下三种:
 
  向用户发送广告和垃圾邮件的恶意功能,在用户设备劫持账号,并以此发送和传播广告;
 
  从合法的电商网站劫持流量,并将感染用户定向引导到指定网站,目前该功能已删除;
 
  禁用网络安全软件。
 
  “双枪”木马近年来屡次开展大规模互动,屡屡被曝光和打击后仍可死灰复燃,由此可见其根基“深厚”,规模庞大。
 
  关闭部分僵尸网络后端基础架构,其中大部分都在使用百度的贴吧图像托管服务,部分使用了阿里云存储托管配置文件。
 
  通过样本溯源可以看到,这次大规模感染主要是通过诱导用户安装包含恶意代码的网游私服客户端,具体感染方式大体分为两种,一是启动器内含恶意代码,二是DLL劫持。
 
  启动器内包含恶意代码方式可分为三个感染阶段:
 
  用户下载含恶意代码的私服客户端并执行,恶意代码访问配置信息服务器后,从贴吧下载并加载cs.dll最新版恶意程序;
 
  cs.dll 会进行一些简单的虚拟机和杀软对抗,利用百度统计服务上报 僵尸网络信息,释放第3阶段VMP加壳的驱动程序;
 
  所有敏感的配置信息都保存在驱动内部,DLL通过调用驱动来获得配置服务器相关信息,根据下载的配置信息去百度贴吧下载其它恶意代码,进行下一阶段的恶意活动。
 
  DLL劫持感染方式依然是以私服客户端为载体,多款类似游戏的私服客户端的组件photobase.dll 被替换成同名的恶意DLL文件,执行可分为两个阶段:
 
  首先会释放相应架构的恶意驱动程序,然后注册系统服务并启动;
 
  加载真正的 photobase.dll 文件,并将导出函数转发到真正的 photobase.dll。
 
  过去三年来,“双枪”一直在从百度贴吧下载图像。这些图像包含秘密代码(使用一种称为隐写术的技术隐藏在图像内部),该代码为“双枪”僵尸网络提供了感染主机执行操作的指令。
 
  在过去的两个星期中,360联手百度追踪打击“双枪”木马,一直在删除“双枪”使用的图像,并记录来自受感染主机的链接,因此发现僵尸网络规模巨大。目前,僵尸网络规模估计为“数十万” ,打击活动在持续进行中。
 
  在此提醒广大读者,不要随意点击陌生链接或者下载未知的应用程序,避免感染恶意木马,沦为“肉鸡”。

第三十届CIO班招生
法国布雷斯特商学院硕士班招生
北达软EXIN网络空间与IT安全基础认证培训
北达软EXIN DevOps Professional认证培训
责编:zhangwenwen
大神娱乐最新版下载 青海十一选五开奖结果走势图 如何计算股票涨跌幅 青海快3开奖查询 股票融资融劵是什么意思 河南快三玩法技巧 好彩票app下载 期货冠军侯婷婷 广西快乐十分什么时候停售 20号时时乐走势 广西快乐双彩开奖软件 甘肃11选5前三走势图 资产配置类基金管理人 分分时时彩追号计划 168幸运飞艇真正官方开奖号码 内蒙古快三预测一定牛 天津快乐十分模拟摇奖