freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

国内“双枪”僵尸网络利用百度贴吧图像进行分发
2020-05-28 12:25:10

玩个游戏也能被黑客盯上?电脑设备一不小心就沦为“肉鸡”。僵尸网络潜藏在人们的日常生活中,表面看似波澜不惊,实则暗潮涌动。

china-ddos.png

三年内感染规模超10万

“双枪”木马是针对windows系统的大规模恶意木马。自2017年7月开始活动,在过去三年中,“双枪”木马影响范围较小,但是随着规模的逐步扩大,如今,该木马病毒已经已经活跃于国内各大社交网站和游戏论坛。

“双枪”木马主要是通过网络共享诱饵应用程序进行分发,为社交网络和游戏论坛提供盗版游戏,使用MBR和VBR引导程序感染用户设备,安装各种恶意驱动程序,并在本地应用程序窃取凭据。

“双枪”木马的恶意行为主要包含以下三种:

1、向用户发送广告和垃圾邮件的恶意功能,在用户设备劫持账号,并以此发送和传播广告;

2、从合法的电商网站劫持流量,并将感染用户定向引导到指定网站,目前该功能已删除;

3、禁用网络安全软件。

“双枪”木马近年来屡次开展大规模互动,屡屡被曝光和打击后仍可死灰复燃,由此可见其根基“深厚”,规模庞大。

关闭部分僵尸网络后端基础架构,其中大部分都在使用百度的贴吧图像托管服务,部分使用了阿里云存储托管配置文件。

IOC_simple.png

IOC关联分析

client_home_page.png

通过样本溯源可以看到,这次大规模感染主要是通过诱导用户安装包含恶意代码的网游私服客户端,具体感染方式大体分为两种,一是启动器内含恶意代码,二是DLL劫持。

pljx_infect_flow-2.png

启动器内包含恶意代码方式可分为三个感染阶段:

1、用户下载含恶意代码的私服客户端并执行,恶意代码访问配置信息服务器后,从贴吧下载并加载cs.dll最新版恶意程序;

2、cs.dll 会进行一些简单的虚拟机和杀软对抗,利用百度统计服务上报 僵尸网络信息,释放第3阶段VMP加壳的驱动程序;

3、所有敏感的配置信息都保存在驱动内部,DLL通过调用驱动来获得配置服务器相关信息,根据下载的配置信息去百度贴吧下载其它恶意代码,进行下一阶段的恶意活动。

DLL劫持感染方式依然是以私服客户端为载体,多款类似游戏的私服客户端的组件photobase.dll 被替换成同名的恶意DLL文件,执行可分为两个阶段:

1、首先会释放相应架构的恶意驱动程序,然后注册系统服务并启动;

2、加载真正的 photobase.dll 文件,并将导出函数转发到真正的 photobase.dll。

过去三年来,“双枪”一直在从百度贴吧下载图像。这些图像包含秘密代码(使用一种称为隐写术的技术隐藏在图像内部),该代码为“双枪”僵尸网络提供了感染主机执行操作的指令。

在过去的两个星期中,360联手百度追踪打击“双枪”木马,一直在删除“双枪”使用的图像,并记录来自受感染主机的链接,因此发现僵尸网络规模巨大。目前,僵尸网络规模估计为“数十万” ,打击活动在持续进行中。

在此提醒广大读者,不要随意点击陌生链接或者下载未知的应用程序,避免感染恶意木马,沦为“肉鸡”。

参考来源:

双枪团伙新动向,借云服务管理数十万僵尸网络

奇虎和百度破坏了感染成千上万用户的恶意软件僵尸网络

*本文作者:Sandra1432,转载请注明来自FreeBuf.COM


# 僵尸网络 # 双枪 # 百度贴吧
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者