“雙槍”木馬,是迄今為止發現的最複雜木馬之一,其幕後製作團伙更是如殺不滅的“小強”,每每都能死灰復燃高調復出。近日,360安全大腦獨家追蹤到了“雙槍”木馬團伙最新動向。不過,與以往木馬牟利方式不同,這一次“雙槍”團伙鳥槍換炮,透過開放服務管理數十萬殭屍網路非法獲利。
感染規模超10萬,直接觸發360 安全大腦預警系統,足可見“雙槍”團伙的猖狂程度。360安全大腦在對告警域名進行解析後發現,該團伙從19年下半年,就圍繞兩個關鍵IP,啟用多個域名控制並下發惡意程式。“雙槍”團伙手中掌握著異常豐富的網路資源,隨時可能捲土重來。目前,360安全衛士已首家支援對該惡意程式的攔截,廣大使用者可及時下載安裝360安全衛士進行攔截查殺。
開放服務慘遭雙槍團伙利用,揭殭屍網路管理新趨勢
2017年,360安全團隊首家發現“雙槍”木馬,自此該木馬幕後製作團伙就成了網路非法“淘金”的活躍分子,異常高調地利用鎖瀏覽器首頁、彈窗廣告和推廣安裝其他惡意軟體等各種手段吸金。在此次360安全大腦捕獲的大規模活動中,雙槍木馬團伙更是將高調發揮到極致,竟開始利用起了網路“開放服務”,下發惡意程式監管殭屍網路。
(IOC關聯分析)
普通人廣泛使用的網路開放服務,到了“雙槍”團伙手中,卻成了放毒的“翹板”。360安全大腦監測到,“雙槍”團伙同時利用了貼吧圖片、雲端儲存託管、網路統計等多種開放服務,分發、託管配置檔案,統計管理已感染裝置,為自己禍亂網路大開方便之門。
(惡意樣本中發現的某雲服務URL地址)
這裡有必要強調的是,開放服務本身是中立的技術,慘遭“雙槍”團伙利用,完全是不法分子的蓄意行為,但也預示著未來使用開放服務管理殭屍網路或將成為流行趨勢。鑑於上述威脅,360安全大腦立即對該惡意軟體傳播範圍進行度量監測,並在第一時間採取了有效的抵禦措施。
雙套路潛匿網路“反追蹤”,感染數十萬終被360安全大腦截殺
從360安全大腦監測資料來看,此次感染規模之所以達到數十萬體量,關鍵就在於雙槍團伙在終端上,採取了極複雜的對抗手段以及加密通訊,躲開了反病毒軟體的防護網。360安全大腦在 DNS 資料中發現惡意活動的線索,粗略推算木馬感染量達數十萬級,研判確認幕後黑手就是惡名遠揚的“雙槍”團伙。
360安全大腦在樣本分析過程中發現,“雙槍”團伙主要透過啟動器內包含惡意程式碼與DLL 劫持兩種感染方式,潛藏網遊私服客戶端全網擴散,這也就讓廣大網友愛好者成為了高危感染人群。
在啟動器內包含惡意程式碼的感染方式中,含惡意程式碼的私服客戶端啟動器會先行下載並載入cs.dll惡意檔案,並上報主機資訊釋放載入惡意驅動,隨後劫持系統程序,下載後續惡意程式。
(啟動器內包含惡意程式碼模式中涉及的各類私服入)
(點選下載連結跳到的私服主頁)
在DLL 劫持感染方式中,依然是以私服客戶端為載體,但在技術細節上存在較大差異。惡意photobase.dll 檔案會先釋放相應架構的惡意驅動程式,註冊系統服務並啟動,在這之後才會載入真正的photobase.dll檔案。
(DLL 劫持手段中登入器下載頁面)
(多款類似遊戲私服客戶端的元件 photobase.dll 被替換成同名惡意 DLL 檔案)
蓄謀已久且擁有著異常豐富的作惡資源,也就怪不得“雙槍”每每都能死灰復燃。不過廣大使用者不必擔心,目前,360安全大腦已全面阻擊相關惡意程式碼下載連結,而為避免更多使用者遭遇此類威脅,360安全大腦給出如下安全建議:
1、及時前往weishi.360.cn,下載安裝360安全衛士,強力查殺此類病毒木馬;
2、對於安全軟體提示風險的程式,切勿輕易新增信任或退出殺軟執行;
3、發現電腦異常時,及時使用360安全衛士進行體檢掃描,查殺病毒木馬;
4、開啟360安全衛士“網頁安全防護”功能,辨別各類虛假詐騙網頁,攔截釣魚網站、危險連結,保障計算機資訊保安。
5、使用360軟體管家下載軟體,360軟體管家收錄萬款正版軟體,經過360安全大腦白名單檢測,下載、安裝、升級,更安全。
