作為經(jīng)典科幻影片之一，《變形金剛》廣受影迷們的喜愛。影片中，令人印象深刻的除了正義的汽車人小分隊(duì)，霸天虎軍團(tuán)作為反派同樣是聲名遠(yuǎn)揚(yáng)。

以威震天為首領(lǐng)，霸天虎與汽車人的惡斗場面組成了《變形金剛》系列的經(jīng)典片段，并最終被人們銘記腦海。

你以為上述場景，僅存在于電影當(dāng)中？不，其實(shí)在網(wǎng)絡(luò)安全領(lǐng)域類似故事也在上演。

這次的大反派自2018年起，通過幽蟲、獨(dú)狼、雙槍、紫狐、貪狼等多個病毒木馬家族，利用盜版Ghost系統(tǒng)、激活破解工具、熱門游戲外掛等渠道傳播，在用戶電腦上安裝Rootkit后門。

自誕生以來，這個超大的病毒團(tuán)伙和國內(nèi)眾多殺毒廠商斗智斗勇，一個團(tuán)伙被打退，很快就有新的團(tuán)伙取而代之，其真面目則一直是個謎。

4月29日，騰訊安全發(fā)文稱終于揪出了這個年度最大的黑產(chǎn)界“霸天虎軍團(tuán)”。

初識“霸天虎”

雷鋒網(wǎng)了解到，騰訊安全專家通過例行的智能分析系統(tǒng)查詢發(fā)現(xiàn)，雙槍、紫狐、幽蟲和獨(dú)狼系列木馬都被聚類到同一個自動家族T-F-8656。

從自動家族T-F-8656中篩選出部分關(guān)鍵節(jié)點(diǎn)，并使用3D模式進(jìn)行可視化展示后，發(fā)現(xiàn)幽蟲、獨(dú)狼、雙槍、紫狐以及關(guān)聯(lián)到的盜號、惡意推裝木馬之間聯(lián)系非常緊密，但又層次分明，這一布局就像有人專門設(shè)計(jì)的結(jié)構(gòu)。

正如上述，該團(tuán)伙通過木馬病毒安裝Rootkit后門，通過多種流行的黑色產(chǎn)業(yè)變現(xiàn)牟利。其“業(yè)務(wù)”包括，云端控制下載更多木馬、強(qiáng)制安裝互聯(lián)網(wǎng)軟件、篡改鎖定用戶瀏覽器、刷量、挖礦等等。

據(jù)悉，該病毒團(tuán)伙在2018年7-8月為活躍高峰，當(dāng)時被感染的電腦在3000萬-4000萬臺之間。之后，該病毒的傳播有所收斂，在2018年8-11月感染量下降到1000萬-2000萬之間。至今，被該病毒團(tuán)伙控制的電腦仍在200-300萬臺。

進(jìn)一步調(diào)查顯示，該病毒團(tuán)伙的受害者分布在全國各地，其中廣東、山東、江蘇受害最為嚴(yán)重。該病毒團(tuán)伙受害者地域分布如下圖所示：

騰訊安全稱，通過多個維度分析幽蟲、獨(dú)狼、雙槍、紫狐、貪狼等病毒木馬的技術(shù)特點(diǎn)、病毒代碼的同源性分析、C2服務(wù)器注冊、托管等線索綜合分析，最終判斷這5個影響惡劣的病毒團(tuán)伙背后是由同一個黑客組織操控。

進(jìn)一步對上圖中涉及的所有信息進(jìn)行分析整理，可以發(fā)現(xiàn)，幽蟲和獨(dú)狼木馬通過盜版GHOST系統(tǒng)、系統(tǒng)激活工具、游戲外掛等多種渠道進(jìn)行傳播，負(fù)責(zé)在受害者系統(tǒng)中安裝Rootkit，并將自身進(jìn)行持久化（通過安裝木馬長時間控制目標(biāo)系統(tǒng)，業(yè)內(nèi)俗稱“持久化”），然后再通過下載者木馬投遞雙槍、紫狐、盜號木馬等多種惡意程序，同時還在中毒電腦上推廣安裝多個軟件、彈出廣告或刷量。

可見，各個木馬家族之間分工明確，環(huán)環(huán)相扣，組成了一個完整的產(chǎn)業(yè)鏈。（如上圖）

病毒團(tuán)伙的廬山真面目

既然確定了攻擊出自同一病毒團(tuán)伙，那它的真面目又是什么？其背后是否真的有一個完善的網(wǎng)絡(luò)犯罪團(tuán)伙在運(yùn)作？我們且看下面的具體分析。

先從幽蟲木馬開始。

幽蟲木馬的攻擊手法通過偽裝的系統(tǒng)激活工具進(jìn)行傳播，利用到的技術(shù)手段和最終的獲利方式都如出一轍，同時受害用戶中招之后，受害主機(jī)系統(tǒng)信息都被上傳至同一C2域名www.tj678.top。

獨(dú)狼驅(qū)動部分代碼

幽蟲驅(qū)動部分代碼

值得一提的是，騰訊安全發(fā)現(xiàn)獨(dú)狼和幽蟲木馬的驅(qū)動代碼相似度極高。對比獨(dú)狼和幽蟲木馬驅(qū)動的關(guān)鍵函數(shù)代碼流程圖，發(fā)現(xiàn)它們的整體流程基本一致； 其次，二者的pdb名稱和數(shù)字簽名也完全一致，可見它們重復(fù)盜用相同的數(shù)字簽名。

關(guān)鍵函數(shù)代碼流程

幽蟲木馬pdb名稱

獨(dú)狼pdb名稱

幽蟲木馬與其之前公布的獨(dú)狼屬于同一個木馬家族，并出自同一作者之手。那么雙槍、紫狐、貪狼是否也與該作者存在更深層次的聯(lián)系呢？

請看下表：

由上表可見，這幾個木馬在傳播渠道、技術(shù)手段、惡意行為上相似而又不盡相同，無法簡單地判斷它們是否是同一作者所為。

接著，再挑選各個木馬家族的部分代表性樣本，并提取它們的簽名信息，如下表所示：

幽蟲木馬與雙槍木馬使用的大部分簽名是一樣的，貪狼則使用不一樣的簽名信息。從盜用的簽名上看，幽蟲木馬和雙槍木馬存在著很大的貓膩，而貪狼則貌似很“清白“。

2018年10月，有安全廠商披露，通過對比貪狼木馬和多個版本雙槍木馬的pdb，可以發(fā)現(xiàn)雙槍中進(jìn)行流量劫持的模塊AppManage.dll與貪狼中實(shí)現(xiàn)相同功能的模塊。而AppManage.dll則出自同一木馬作者之手，并且頻繁出現(xiàn)”ppzos“和”ivipm“字眼。

雙槍、貪狼pdb對比

雙槍、貪狼pdb對比

而進(jìn)一步進(jìn)行關(guān)聯(lián)發(fā)現(xiàn)，ppzos.com和ivipm.com的多個子域名均為雙槍的C2，而且都在2018年8月~9月之間解析到了同一個ip地址103.35.72.205。此外，在差不多的時間節(jié)點(diǎn)，ppzos.com，ivipm.com等子域名又與貴陽市某云世紀(jì)科技有限公司的多個站點(diǎn)解析到同一個ip地址121.42.43.112。

雙槍C2

雙槍C2

綜上，可以確定幽蟲、雙槍、紫狐和貪狼木馬其實(shí)出自同一團(tuán)伙（作者）。為了方便回顧，將該團(tuán)伙使用的各個木馬家族之間的關(guān)系使用韋恩圖整理如下：

該團(tuán)伙的產(chǎn)業(yè)鏈整理如下圖所示：

Ok，到此為止“霸天虎軍團(tuán)”總算是露出了廬山真面目——貴陽市某云世紀(jì)科技有限公司。

據(jù)悉，其曾通過公司官網(wǎng)www.qhaiyun.com利用開心輸入法等產(chǎn)品傳播雙槍木馬，而該公司的產(chǎn)品點(diǎn)點(diǎn)輸入法安裝包的pdb名稱與雙槍、貪狼pdb名稱高度相似，工程項(xiàng)目的附目錄都在”E:\Code\Ivipm\source”和”E:\Code\ppzos\source”之下。

通過天眼查查詢，雷鋒網(wǎng)發(fā)現(xiàn)該公司目前已經(jīng)處于注銷狀態(tài)。騰訊安全稱，經(jīng)調(diào)查發(fā)現(xiàn)該公司旗下的多個站點(diǎn)已變成博彩網(wǎng)站，這可能意味著病毒作者在獲得豐厚收益之后，暫時轉(zhuǎn)行避風(fēng)，以逃避網(wǎng)安機(jī)構(gòu)的查處。

如何防止被攻擊？

那么，如何防止被該病毒團(tuán)伙攻擊呢？在此，騰訊安全給到我們幾點(diǎn)建議：

1. 建議網(wǎng)民使用正規(guī)軟件，盡量不要下載運(yùn)行各類外掛輔助工具，外掛和游戲輔助工具是病毒木馬、違規(guī)軟件傳播的主要渠道之一。

2. 幾乎所有外掛網(wǎng)站都會誘導(dǎo)、欺騙游戲玩家退出或關(guān)閉殺毒軟件后再運(yùn)行外掛。一旦照辦，殺毒軟件有很高的概率被隱藏在外掛中的病毒木馬破壞，從而令電腦失去安全防護(hù)能力。

3. 激活工具、Ghost鏡像歷來都是Rootkit病毒傳播的重要渠道，“獨(dú)狼”Rootkit系列病毒具有隱蔽性強(qiáng)，反復(fù)感染，難查殺的特點(diǎn)。建議用戶使用正版操作系統(tǒng)，如果殺毒軟件報(bào)告發(fā)現(xiàn)激活破解補(bǔ)丁帶毒，建議停止使用。

本文轉(zhuǎn)自：騰訊御見威脅威脅情報(bào)中心雷鋒網(wǎng)

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。