信息來源:Freebuf
玩?zhèn)€游戲也能被黑客盯上����?電腦設備一不小心就淪為“肉雞”。僵尸網絡潛藏在人們的日常生活中�����,表面看似波瀾不驚�����,實則暗潮涌動����。
三年內感染規(guī)模超10萬
“雙槍”木馬是針對windows系統(tǒng)的大規(guī)模惡意木馬。自2017年7月開始活動��,在過去三年中�����,“雙槍”木馬影響范圍較小�����,但是隨著規(guī)模的逐步擴大��,如今����,該木馬病毒已經已經活躍于國內各大社交網站和游戲論壇����。
“雙槍”木馬主要是通過網絡共享誘餌應用程序進行分發(fā)��,為社交網絡和游戲論壇提供盜版游戲�,使用MBR和VBR引導程序感染用戶設備,安裝各種惡意驅動程序����,并在本地應用程序竊取憑據����。
“雙槍”木馬的惡意行為主要包含以下三種:
1、向用戶發(fā)送廣告和垃圾郵件的惡意功能��,在用戶設備劫持賬號��,并以此發(fā)送和傳播廣告��;
2��、從合法的電商網站劫持流量����,并將感染用戶定向引導到指定網站�,目前該功能已刪除;
3����、禁用網絡安全軟件��。
“雙槍”木馬近年來屢次開展大規(guī)?���;?,屢屢被曝光和打擊后仍可死灰復燃����,由此可見其根基“深厚”,規(guī)模龐大�����。
關閉部分僵尸網絡后端基礎架構�,其中大部分都在使用百度的貼吧圖像托管服務�,部分使用了阿里云存儲托管配置文件。
IOC關聯分析
通過樣本溯源可以看到�,這次大規(guī)模感染主要是通過誘導用戶安裝包含惡意代碼的網游私服客戶端,具體感染方式大體分為兩種����,一是啟動器內含惡意代碼��,二是DLL劫持。
啟動器內包含惡意代碼方式可分為三個感染階段:
1����、用戶下載含惡意代碼的私服客戶端并執(zhí)行�,惡意代碼訪問配置信息服務器后�����,從貼吧下載并加載cs.dll最新版惡意程序�����;
2��、cs.dll 會進行一些簡單的虛擬機和殺軟對抗����,利用百度統(tǒng)計服務上報 僵尸網絡信息,釋放第3階段VMP加殼的驅動程序�;
3�、所有敏感的配置信息都保存在驅動內部,DLL通過調用驅動來獲得配置服務器相關信息�,根據下載的配置信息去百度貼吧下載其它惡意代碼�,進行下一階段的惡意活動����。
DLL劫持感染方式依然是以私服客戶端為載體��,多款類似游戲的私服客戶端的組件photobase.dll 被替換成同名的惡意DLL文件�����,執(zhí)行可分為兩個階段:
1��、首先會釋放相應架構的惡意驅動程序�,然后注冊系統(tǒng)服務并啟動��;
2�����、加載真正的 photobase.dll 文件��,并將導出函數轉發(fā)到真正的 photobase.dll��。
過去三年來,“雙槍”一直在從百度貼吧下載圖像��。這些圖像包含秘密代碼(使用一種稱為隱寫術的技術隱藏在圖像內部)�,該代碼為“雙槍”僵尸網絡提供了感染主機執(zhí)行操作的指令�。
在過去的兩個星期中�����,360聯手百度追蹤打擊“雙槍”木馬�,一直在刪除“雙槍”使用的圖像����,并記錄來自受感染主機的鏈接�����,因此發(fā)現僵尸網絡規(guī)模巨大�。目前�,僵尸網絡規(guī)模估計為“數十萬” ,打擊活動在持續(xù)進行中�。
在此提醒廣大讀者,不要隨意點擊陌生鏈接或者下載未知的應用程序����,避免感染惡意木馬,淪為“肉雞”�。
