国内“双枪”僵尸网络利用百度贴吧图像进行分发
玩个游戏也能被黑客盯上?电脑设备一不小心就沦为“肉鸡”。僵尸网络潜藏在人们的日常生活中,表面看似波澜不惊,实则暗潮涌动。
三年内感染规模超10万
“双枪”木马是针对windows系统的大规模恶意木马。自2017年7月开始活动,在过去三年中,“双枪”木马影响范围较小,但是随着规模的逐步扩大,如今,该木马病毒已经已经活跃于国内各大社交网站和游戏论坛。
“双枪”木马主要是通过网络共享诱饵应用程序进行分发,为社交网络和游戏论坛提供盗版游戏,使用MBR和VBR引导程序感染用户设备,安装各种恶意驱动程序,并在本地应用程序窃取凭据。
“双枪”木马的恶意行为主要包含以下三种:
- 向用户发送广告和垃圾邮件的恶意功能,在用户设备劫持账号,并以此发送和传播广告;
- 从合法的电商网站劫持流量,并将感染用户定向引导到指定网站,目前该功能已删除;
- 禁用网络安全软件。
“双枪”木马近年来屡次开展大规模互动,屡屡被曝光和打击后仍可死灰复燃,由此可见其根基“深厚”,规模庞大。
关闭部分僵尸网络后端基础架构,其中大部分都在使用百度的贴吧图像托管服务,部分使用了阿里云存储托管配置文件。
IOC关联分析
通过样本溯源可以看到,这次大规模感染主要是通过诱导用户安装包含恶意代码的网游私服客户端,具体感染方式大体分为两种,一是启动器内含恶意代码,二是DLL劫持。
启动器内包含恶意代码方式可分为三个感染阶段:
- 用户下载含恶意代码的私服客户端并执行,恶意代码访问配置信息服务器后,从贴吧下载并加载cs.dll最新版恶意程序;
- cs.dll 会进行一些简单的虚拟机和杀软对抗,利用百度统计服务上报 僵尸网络信息,释放第3阶段VMP加壳的驱动程序;
- 所有敏感的配置信息都保存在驱动内部,DLL通过调用驱动来获得配置服务器相关信息,根据下载的配置信息去百度贴吧下载其它恶意代码,进行下一阶段的恶意活动。
DLL劫持感染方式依然是以私服客户端为载体,多款类似游戏的私服客户端的组件photobase.dll 被替换成同名的恶意DLL文件,执行可分为两个阶段:
- 首先会释放相应架构的恶意驱动程序,然后注册系统服务并启动;
- 加载真正的 photobase.dll 文件,并将导出函数转发到真正的 photobase.dll。
过去三年来,“双枪”一直在从百度贴吧下载图像。这些图像包含秘密代码(使用一种称为隐写术的技术隐藏在图像内部),该代码为“双枪”僵尸网络提供了感染主机执行操作的指令。
在过去的两个星期中,360联手百度追踪打击“双枪”木马,一直在删除“双枪”使用的图像,并记录来自受感染主机的链接,因此发现僵尸网络规模巨大。目前,僵尸网络规模估计为“数十万” ,打击活动在持续进行中。
在此提醒广大读者,不要随意点击陌生链接或者下载未知的应用程序,避免感染恶意木马,沦为“肉鸡”。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
处女座的华为技术流团队打磨出的下一代摄像机有多牛?细节控最爱!
【51CTO.com原创稿件】摄像机也能拍大片么?华为可以做到。2020年5月25日,在华为HoloSens下一代摄像机暨2020年新品发布会现场,就播放了一组全球首部由摄像头拍摄的“风景大片”:远处的珠穆朗玛峰山顶云卷云舒,云雾如海潮漫上雪山又从容褪去,五彩的经幡在风中上下飞舞……这组画面丝毫不逊色于专业摄影设备的拍摄效果,而拍出这组画面的,正是华为HoloSens下一代摄像机,也是本次华为隆重推出的六大新品之一。 开启智能世界的眼睛 华为首次推出HoloSens全新品牌还是在2019年,当时华为新任的智能安防产品线总裁段爱国明确表示,华为要做不一样的安防产品,要用智能推进行业数字化进程。随后,在安防行业步入智能化的进程中,华为很快就清晰了自身在硬核创新、自主可控、顶层设计、开放黑土地等方面的核心竞争力与独特价值,提出“全息感知,数据智能,重构安防新视界”的发展远景。 今年2月,华为将“华为安防”更名为“华为机器视觉”,宣布将以机器视觉来做万物感知的核心,随后不久,华为发布了对应“Huawei HoloSens”的中文品牌“华为好望”,又一口气面向安防分销市场推出华为好望D系列软件定...
- 下一篇
预告|零信任十周年峰会将于6月5日举办,报名通道开启
零信任,顾名思义“永不信任、始终验证”,最早雏形源于2004年成立的耶利哥论坛(Jericho Forum),其成立的使命是为了定义无边界趋势下的网络安全问题并寻求解决方案。2010年约翰·金德维格(John Kindervag)首次提出了零信任安全的概念,走到今天,已经十年时间。这期间,零信任安全理念在国外被广泛应用。 2019年,工信部公开征求对《关于促进网络安全产业发展的指导意见(征求意见稿)》的意见中,零信任安全首次被列入网络安全需要突破的关键技术。同年,中国信息通信研究院发布《中国网络安全产业白皮书(2019年)》中,首次将零信任安全技术和5G、云安全等并列列为我国网络安全重点细分领域技术。由此可见,零信任安全引起了国家相关部门和业界的高度重视。 今年,RSAC 2020的主题是“Human Element”,以人为本的理念与零信任安全不谋而合。由此可见,零信任安全的理念是符合网络安全发展方向的,也是大的趋势下发展的必然方向。 云安全联盟作为软件定义边界SDP的缔造者,一直专注于零信任、SDP技术的研究与创新。值十周年之际,云安全联盟大中华区联合了众多在零信任领域耕耘的企业,...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- CentOS关闭SELinux安全模块
- Hadoop3单机部署,实现最简伪集群
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- SpringBoot2全家桶,快速入门学习开发网站教程
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- MySQL8.0.19开启GTID主从同步CentOS8
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2整合Redis,开启缓存,提高访问速度