Yılın en büyük viral çetesi ortaya çıktı
I. Genel Bakış
2018'den bu yana, bir dizi yerel güvenlik satıcısı, Ghost Worm, Lone Wolf, Double Gun, Purple Fox ve Greed Wolf gibi birden fazla virüs Truva atı ailesi keşfetti.Bu Truva atları korsan Hayalet sistemleri, etkinleştirme kırma araçları, popüler oyun eklentileri ve diğer kanalları kullanıyor. Rootkit arka kapılarını kullanıcıların bilgisayarlarına dağıtın, kurun ve çeşitli popüler kara endüstriler aracılığıyla kar elde edin: daha fazla Truva atının bulut kontrollü indirmeleri, İnternet yazılımının zorla yüklenmesi, kullanıcı tarayıcılarının kurcalanması ve kilitlenmesi, kaydırma, madencilik vb.
Başlangıcından bu yana, bu süper büyük virüs grubu birçok yerli anti-virüs üreticisiyle rekabet etti.Güvenlik yazılımının ortak saldırısı altında bir grup kayboldu ve yakında yeni bir grup değiştirilecek.
Tencent Güvenlik Tehdit İstihbarat Merkezi, Spectre, Lone Wolf, Double Gun, Purple Fox ve Greed Wolf gibi virüs Truva atlarının teknik özelliklerini birden çok boyutta analiz eder, virüs kodlarının homolojisinin analizi, C2 sunucu kaydı ve barındırma gibi ipuçlarının kapsamlı analizi. Sonunda, kötü etkili bu beş virüs grubunun aynı suç örgütü tarafından kontrol edildiğine karar verildi.
Virüs çetesi, virüs bulaşan bilgisayar sayısının 30 milyon ila 40 milyon arasında olduğu Temmuz-Ağustos 2018 arasında faaliyetlerinin zirvesinde idi. O zamandan beri virüsün yayılması yavaşladı ve enfeksiyon sayısı Ağustos'tan Kasım 2018'e kadar 10 milyon ile 20 milyon arasına düştü. Şimdiye kadar, virüs çetesi tarafından kontrol edilen 2 ila 3 milyon bilgisayar var.
Virüs çetesinin kurbanları ülkenin dört bir yanına dağılmış durumda, en çok etkilenenler Guangdong, Shandong ve Jiangsu oluyor. Virüs çetesinin kurbanlarının coğrafi dağılımı aşağıdaki şekilde gösterilmektedir:
Tencent güvenlik uzmanları nihayet, çok sayıda ciddi virüs ailesini büyük bir grupta ilişkilendirmek için Tencent Antu'nun gelişmiş tehdit izleme sistemine güveniyor, böylece insanlar ağ virüsü siyah üretiminin ölçeğini ve sistemin olgunluğunu daha net bir şekilde algılayabilir.
2. Süper büyük virüs grubunun keşfi
Tencent güvenlik uzmanları, rutin akıllı analiz sistemi sorguları aracılığıyla, Double Gun, Purple Fox, Ghost ve Duwolf Truva atlarının hepsinin aynı otomatik T-F-8656 ailesinde toplandığını buldular.
(Not: Virüs ailesi akıllı analiz sistemi, Tencent'in güvenlik büyük veri platformunun bir alt sistemidir. Tencent Security'nin Tehdit İstihbarat Merkezi tarafından bağımsız olarak geliştirilmiştir. Tehdit keşfi, tehdit analizi, rapor çıktısı ve görsel görüntüleme yeteneklerini entegre eden gelişmiş bir tehdit analizi sistemidir. Otomatik aile, makine öğrenimi algoritması kümeleme yoluyla elde edilen şüpheli bir Truva atı ailesidir, manuel müdahale olmadan, sistem otomatik olarak ilişkili virüs ailelerini bir araya getirebilir.)
Otomatik TF-8656 ailesinden bazı önemli düğümleri taramak için akıllı analiz sistemini kullanın ve ekranı görselleştirmek için 3D modunu kullanın ve hayalet, yalnız kurt, çift silah, mor tilki ve ilgili hackleme ve kötü niyetli itme Truva atları arasındaki bağlantıyı bulun. Çok yakın ama hiyerarşiktir.Bu düzen, özel olarak tasarlanmış bir yapı gibidir.
Yukarıdaki şekilde yer alan tüm bilgileri daha fazla analiz edip sıraladıktan sonra, Ghost ve Lone Wolf Truva atlarının kurban sistemine Rootkit'i kurmaktan sorumlu korsan GHOST sistemi, sistem aktivasyon araçları, oyun eklentileri vb. Gibi çeşitli kanallarda yayıldığı görülebilir. Ve kendini ısrarla (hedef sistemi uzun süre kontrol etmek için bir Truva atı yükleyerek, endüstride yaygın olarak "kalıcılık" olarak bilinir) ve ardından indirici Truva Atı'nı kullanarak, Double Gun, Purple Fox ve Hack Trojan gibi çeşitli kötü amaçlı programları teslim ederken bilgisayarı da zehirler. Birden fazla yazılımın, açılır reklamların kurulumunu tanıtın veya miktarı kaydırın Çeşitli Truva aileleri arasındaki işbölümü net ve iç içe geçmiştir ve eksiksiz bir endüstriyel zincir oluşturur.
3. İzlenebilirlik analizi
Sadece bu da değil, yukarıda bahsedilen Truva atlarının daha derin bağlantılara sahip olması, bu yaygın Truva atlarının aslında bir siber suçlu grubu tarafından kontrol edildiğini kanıtlıyor.
1. Hayalet Solucan == Yalnız Kurt Serisi
Diğer güvenlik satıcıları tarafından açıklanan Hayalet Truva atları aslında Yujian Tehdit İstihbarat Merkezi tarafından defalarca bildirilen yalnız kurt serisi Truva atlarıdır. Sonuçların güvenilirliğini sağlamak için, bunu aşağıdaki farklı boyutlardan çapraz doğrulayacağız.
(1) Saldırı tekniği
Phantom ve Lone Wolf 2'nin analiz raporlarında hem Lone Wolf 2 hem de Phantom Trojan'ın gizlenmiş sistem aktivasyon araçlarıyla yayıldığı belirtilmektedir.Kullanılan teknik araçlar ve nihai kar yöntemi aynıdır ve kullanıcılar da mağdur olmuştur. İşe alındıktan sonra, mağdur ana bilgisayarın sistem bilgileri aynı C2 alan adına www.tj678.top yüklendi.
Hayalet Yalnız Kurt 2 İletişim kanalı
Sistem etkinleştirme aracı Sistem etkinleştirme aracı
Teknik araçlar Rootkit, kötü niyetli sürücü Rootkit, kötü niyetli sürücü
Kar yöntemi Kötü amaçlı itme, ana sayfa kilidi Kötü amaçlı itme, ana sayfa kilidi
C2 www.tj678.top www.tj678.top
(2) Sürücü kodu benzer ve homologdur
Lone Wolf Truva Atı ve Hayalet Truva Atı'nın sürücü kodu, aşağıdaki şekilde gösterildiği gibi son derece benzerdir:
Aşağıdaki şekilde gösterildiği gibi, Duwolf Truva Atı ve Hayalet Truva Atı tarafından çalıştırılan anahtar işlev kodu akış çizelgelerini karşılaştırarak, genel işlemlerinin temelde aynı olduğu ve aynı Truva ailesine ait oldukları belirlenebilir.
(3) pdb adı
Tencent Antu Gelişmiş Tehdit İzlenebilirlik Sistemi üzerinden sorguladığınızda, Ghost Trojan ve Dulang 1 Trojan'ın pdb adlarının tamamen aynı olduğunu görebilirsiniz.
(4) Örnek imza
Ghost Truva Atı ve Duwolf Truva Atı'nın bazı örnek dijital imzaları, aynı dijital imzayı defalarca zimmetlerine geçirdiklerini gösteren aşağıdaki tabloda gösterilmektedir.
Soyadı MD5 imza
Hayalet
01ccb04891ef1c19a5d750e79b3e2dac Zhejiang Hengge Network Technology Co., Ltd. 31aee7df1b47a6183061d94e6479e551 Beijing Founder Apabi Technology Limited b98b041ae51316cd0f544900ccbf76a4 KÜRESEL FAYDA AĞI ŞİRKETİ
Yalnız Kurt 0cea624e48f20f718198ab7349bb1eea Zhejiang Hengge Network Technology Co., Ltd. 419f1f778e1405354fd34e5293edd52d Beijing Founder Apabi Technology Limited a0daebcd97f1ddc5c9cce3b838c39bb7 Shuangshuang, Truva atı ailesine ve büyük ihtimalle Truva atı ailesine ait.
2. Bir ip üzerinde çekirge
Yukarıdakiler, Hayalet Truva Atı ve Yalnız Kurt Truva Atı'nın aynı Truva atı ailesine ait olduğuna ve aynı yazardan geldiğine dair yeterli kanıt sağlamıştır. Peki Shuangqiang, Purple Fox ve Greedy Wolf'un yazarla daha derin bir bağları var mı?
Herkesin fikirlerini belirlemesine yardımcı olmak için, öncelikle her bir Truva atı ailesinin temel bilgilerini sıralayın.
Soyadı İletişim kanalı Teknik araçlar Kötü niyetli davranış Hayalet Solucan Yalnız Kurt
Korsan GHOST sistemi, sistem etkinleştirme aracı, oyun eklentisi Bootkit / Rootkit, kötü amaçlı sürücü, çalınan dijital imza, ana sayfa kilidi, kaydırma, yayılma korsanlığı Truva atı, kötü amaçlı itme
Çift tabanca (Eklenti hayalet) Oyun eklentileri, indirme siteleri, üçüncü taraf hileli yazılım Bootkit / Rootkit, kötü niyetli sürücüler, dijital imzaların çalınması, ana sayfaları kilitlemek için genel ağ hizmetlerinin (Baidu Tieba sunucusu gibi) kullanımı, tarayıcı korsanlığı, hesap hırsızlığı, kötü amaçlı tanıtım ve kötü amaçlı programların dağıtımı
Mor tilki (Eklenti hayalet) Oyun eklentisi, indirme istasyonu Kötü amaçlı sürücü Kötü amaçlı itme Açgözlü kurt Korsan GHOST sistemi Rootkit, kötü niyetli sürücüler, çalınan dijital imza kilidi ana sayfası, tarayıcı korsanlığı, kaydırma, madencilik, ağ saldırıları ve kötü amaçlı programlar yayınlama
Yukarıdaki tablodan görülebileceği gibi, bu Truva atları benzer ancak yayılmış kanallar, teknik araçlar ve kötü niyetli davranışlar açısından farklıdır.Aynı yazar tarafından olup olmadıklarına karar vermek imkansızdır.
Ardından, her bir Truva atı ailesinin bazı temsili örneklerini seçin ve aşağıdaki tabloda gösterildiği gibi imza bilgilerini çıkarın:
Soyadı MD5 imza
Hayalet Solucan Yalnız Kurt 01ccb04891ef1c19a5d750e79b3e2dac Zhejiang Hengge Network Technology Co., Ltd. 31aee7df1b47a6183061d94e6479e551 Pekin Kurucu Apabi Technology Limited b98b041ae51316cd0f544900ccbf76a4 KÜRESEL FAYDALANMA NETWORcdeb COMPANYc LLC a039c97
Çift tabanca fc0d16ffc6d384493cc4b31bba443c4a Zhejiang Hengge Network Technology Co., Ltd. cfe79da256441e45195d6f47049cb2a8 Beijing Founder Apabi Technology Limited 97f904690c228077c77d17fe675546c9 Shanghai Yulian Software Technology Co., Ltd.
Açgözlü kurt 2ecee431a394538dd8b451b147d684ad Hubei Xianning Wantong Güvenlik Mühendisliği Co, LTD
Ghost Worm ve Double Gun Truva atları tarafından kullanılan imzaların çoğu aynıdır, Greedy Wolf ise farklı imza bilgileri kullanır. Zimmete geçirilmiş imzalara bakılırsa, açgözlü kurt çok "masum" görünürken, hayalet solucan yalnız kurt ve çift mızraklı Truva atında birçok numara vardır.
Bir arkadaşım Ekim 2018'de "Greed Wolf" pdb'si ile "Dual Gun" ın birden fazla versiyonunu karşılaştırarak "Dual Gun" "AppManage.dll" ve "Give Wolf" ta trafik kaçırma modülünün bulunabileceğini açıkladı. "AppManage.dll" de aynı işlevi uygulayan "AppManage.dll" modülü, aynı Truva atı yazarından gelmektedir.Aşağıdaki şekilde gösterildiği gibi, pdb adları çok benzerdir ve "ppzos" ve "ivipm" sözcükleri sıklıkla görünür.
Ayrıca, Tencent Antu Gelişmiş Tehdit İzlenebilirlik Sistemi'nin birliği aracılığıyla ppzos.com ve ivipm.com'un çoklu alt alan adlarının dual-gun C2 olduğu ve Ağustos ve Eylül 2018 arasında hepsinin aynı IP adresine çözüldüğü tespit edildi. 103.35.72.205.
Ek olarak, aynı zamanda düğüm, ppzos.com ve ivipm.com gibi alt alanlar Guiyang Haiyun Century Technology Co., Ltd.'nin birden çok sitesi ile 121.42.43.112 aynı IP adresine çözümlendi.
Guiyang Haiyun Century Technology Co., Ltd., çift tabanca Truva atını yaymak için Mutlu Giriş Yöntemi'ni ve diğer ürünleri kullanmak için şirketinin resmi web sitesi www.qhaiyun.com'u kullandı ve şirketin ürün nokta giriş yöntemi kurulum paketi pdb adı ve çift tabanca, açgözlü kurt pdb adı Oldukça benzer şekilde, mühendislik projelerinin ana dizinlerinin tümü "E: \ Code \ Ivipm \ source" ve "E: \ Code \ ppzos \ source" altındadır.
isim PDB yolu Greedy Wolf_AppManage.dll E: \ Code \ Ivipm \ source \ AppManger \ AppManger \ x64 \ Release \ AppManage.pdb Double gun_AppManage.dll E: \ Code \ ppzos \ source \ AppManger \ AppManger \ x64 \ Release \ AppManage.pdb DDpxSetup19525_10057.exe (çift tabanca) E: \ Code \ Ivipm \ source \ diandianpy \ Dianinstall \ Release \ DiandianpySetup.pdb
Double Gun ve Greedy Wolf'un gerçekten aynı yazardan olduğu ve virüs yazarı ile Guiyang Haiyun Century Technology Co., Ltd. arasında bir korelasyon olduğu daha da kanıtlanabilir.
"Tianyan Çeki" üzerinden yapılan aramada şirketin iptal edildiği tespit edildi.
Şirketin sitelerinin çoğu bahis siteleri haline geldi, bu da virüs yazarlarının önemli karlar elde ettikten sonra kaçtığından şüphelenilebileceği anlamına gelebilir.
Özetle Ghost Worm Lone Wolf, Double Spear, Purple Fox ve Wolf Trojan'ın aslında aynı gruptan (yazar) olduğu belirlenebilir. İncelemeyi kolaylaştırmak için, çetenin kullandığı çeşitli Truva atı aileleri arasındaki ilişki bir Venn şeması kullanılarak aşağıdaki şekilde düzenlenmiştir:
Grubun endüstriyel zincirinin organizasyonu aşağıdaki şekilde gösterilmektedir:
Dört, çözüm
1. Netizenlerin resmi yazılım kullanmaları ve çeşitli eklenti yardımcı araçları indirip çalıştırmamaları önerilir.Eklenti ve oyun yardımcı araçları, virüs Truva atlarının ve yasadışı yazılımların yayılması için ana kanallardan biridir.
2. Hemen hemen tüm eklenti web siteleri, oyun oyuncularını eklentiyi çalıştırmadan önce anti-virüs yazılımından çıkmaya veya kapatmaya ikna edecek ve kandıracaktır. Bir kez yapıldığında, anti-virüs yazılımının eklentide gizlenen virüs ve Truva atı tarafından yok edilme olasılığı yüksektir ve bu da bilgisayarın güvenlik koruma yeteneklerini kaybetmesine neden olur.
3. Etkinleştirme araçları ve Hayalet yansıtma, Rootkit virüslerinin yayılması için her zaman önemli kanallar olmuştur. "Lone Wolf" Rootkit serisi virüsler, güçlü gizleme, tekrarlanan enfeksiyonlar ve tespit edilmesi ve öldürülmesi zor özelliklere sahiptir. Kullanıcıların orijinal bir işletim sistemi kullanmaları önerilir.Antivirüs yazılımı, etkinleştirme çatlağı yamasının zehirli olduğunu bildirirse, onu kullanmayı bırakmanız önerilir.
IOC'ler (Not: Çok fazla IOC olması nedeniyle, burada yalnızca açıklanmayan bazı IOC'ler verilmiştir)
Mor tilki
f.pbipkierrqom.life
m.pbipkierrqom.life
l.pbipkierrqom.life
2. pbipkierrqom.life
6. pbipkierrqom.life
4. pbipkierrqom.life
8. pbipkierrqom.life
h.pbipkierrqom.life
5. pbipkierrqom.life
a.pbipkierrqom.life
9. pbipkierrqom.life
c.pbipkierrqom.life
i.pbipkierrqom.life
k.pbipkierrqom.life
g.pbipkierrqom.life
j.pbipkierrqom.life
e.pbipkierrqom.life
d.pbipkierrqom.life
0.pbipkierrqom.life
arildsdsxqls.info
216.250.99.26
216.250.99.42
Çift tabanca
white.icbc1234.com
white1.icbc1234.com
white2.icbc1234.com
125.7.29.26
Hayalet Solucan Yalnız Kurt
www.dqzsy.com
123dh.579609.com
www.taolea.top
dl.taolea.top
update.taolea.top
Açgözlü kurt
e1.nchiu.com
e2.nchiu.com
m1.nchiu.com
m2.nchiu.com
* Yazar: Tencent bilgisayar hizmetçisi, FreeBuf.COM'dan yeniden basılmıştır.
