1. 黑客安全网-互联网安全媒体信息综合平台首页
  2. 分类阅读
  3. 网络安全

360研究人员拆除了双强帮的僵尸网络,该僵尸网络感染了数千台PC

中国企业奇虎360 Netlab和百度的专家联合开展的一项行动,拆除了双强僵尸网络,僵尸网络  感染了成千上万个系统。

中国安全公司奇虎360 Netlab和科技巨头百度的联合行动破坏了一个被称为“ 双枪”(又称“ 双枪”)的团体的僵尸网络,该僵尸网络感染了数十万个系统。

双强出于经济动机,自2017年以来一直活跃于针对具有MBR和VBR引导程序的Windows计算机  ,并安装了恶意驱动程序以牟取金钱收益并劫持电子商务网站的网络流量。

“最近,我们基于DNS数据的威胁监控系统DNSmon标记了一个可疑域  pro.csocools.com。该系统估计感染的规模可能远远超过成千上万的用户。通过分析相关样本和C2。” 阅读专家发表的分析
“我们追查其家人回  双枪(双枪)活动,在过去,这项运动已经由多个安全厂商暴露,但它已rvivied回来用新的方法和巨大的力量。”

威胁参与者正在分发配置文件和恶意软件,这些文件和文件已使用隐写术隐藏在上传到百度铁巴的图像中  。黑客还开始使用阿里云存储来托管配置文件,并使用百度的分析平台Tongji作为命令基础架构。

攻击链利用了来自地下游戏门户的游戏启动软件,其中包含伪装成补丁的恶意代码。

攻击者使用两种方法感染受害者,一种方法是使用带有恶意代码的游戏启动器,另一种方法是释放并加载恶意驱动程序。

从地下游戏服务器下载并安装了所谓的补丁程序后,受害者就可以访问配置信息,以从百度贴吧下载另一个名为“ cs.dll”的程序,该程序以图像文件的形式存储。然后,“ cs.dll”创建一个Bot ID并联系C2,然后注入第二个驱动程序,该驱动程序劫持系统进程(例如lassas.exe和svchost.exe)以下载下一阶段的有效负载。

“驱动器会将自身复制到Windows / system32 / driver / {7个随机字母} .sys,以伪装成合法驱动器(例如fltMgr.sys),并将DLL模块注入系统进程Lassas.exe和svchost.exe。” 继续报告。在完成整个初始化过程之后,驱动程序和DLL模块一起通过​​DeviceIoControl()共同完成工作模式,该设备是驱动程序级别的下载器。所有敏感的配置信息都存储在驱动程序内部。”

在研究人员详细介绍的第二条攻击链中,攻击者利用DLL劫持来迫使游戏客户端软件使用相同的名称加载恶意DLL文件。

威胁演员使用修改后的photobase.dll版本修改了该软件,该版本被多个地下游戏客户端软件使用。

奇虎360 Netlab的专家于5月14日向百度报告了他们的发现,并发起了一项联合行动,通过跟踪攻击者使用的所有URL来阻止僵尸网络。

“在这次联合行动中,我们通过共享,分析和响应相关威胁情报,对双枪团伙的技术手段,逻辑和规则有了更好的了解。” 总结报告。

本文为转载文章,源自互联网,由网络整理整理编辑,转载请注明出处:https://www.hacksafe.net/articles/network/2398.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注