彻底曝光黑客隐匿者.PDFVIP

彻底曝光黑客“隐匿者” 目前作恶最多的网络攻击团伙 THE HIDDEN HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD. 目录 一、 综述 3 二、 数据线索 4 三、 同源性和样本分析 7 四、 “隐匿者”的溯源 18 五、 不断更新的攻击手段 20 六、 争夺主机控制权 22 七、 附录 25 八、 相关文献 27 THE HIDDEN HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD. 一、 综述 经过对大量的病毒攻击事件深入研究，火绒安全实验室挖掘出一个作恶累累的 黑客犯罪团伙，并将其命名为“隐匿者” ，该团伙可能由中国人组成或参与。这可以 说是近年来互联网上最活跃、发起攻击次数最多、攻击范围最广的黑客团伙，拥有非 常强的技术能力，并完全以牟利为目的。 “隐匿者”最早出现在2014 年，此后一直从事入侵服务器或者个人主机的黑色 产业，他们通过植入后门程序控制这些设备（肉鸡），然后进行 DDoS 攻击，也会将 这些肉鸡出租给其他黑产团伙，近期，则主要利用这些“肉鸡”来“挖矿”——生产 比特币。 在火绒团队统计的近期 10 大最活跃黑客攻击 CC 服务器中，该团伙独占了 6 个，其攻击范围和频率远高于其他黑客团伙。为了霸占用户设备长期牟利，“隐匿 者”会抢夺其他黑客团伙的“肉鸡”，删除其他黑客的后门账户、结束其后门进程、 关闭可被能利用的攻击端口等。 “隐匿者”拥有非常强的技术实力，而且还在不断改进自己的攻击工具，早在4 月 29 日，他们就将刚泄露十余天的“永恒之蓝”漏洞加入自己的黑客工具箱中，这 比恶性病毒WannaCry 5 月 12 日首次爆发还早2 周时间。 火绒安全团队很早就一些攻击事件的研究中，嗅探到这个频频出手的黑客犯罪 团伙的存在。卡巴斯基、Cyphort 等安全厂商近期的报告中，也都零星地提到了隐匿 者使用的部分 CC 服务器。火绒通过对大量攻击事件的分析和溯源，并结合详细的 代码分析，寻找出其中的关联线索，最终确定了 “隐匿者”的存在，并在随后的不断 追踪中，掌握了“隐匿者”更多的作恶证据。 火绒倡导“情报驱动安全”的新理念,在国内率先部署完成了 EDR （终端、检测 和响应）系统——将用户终端的“火绒安全软件”和后台“火绒终端威胁情报系统” 实时连接，通过用户终端收集威胁信息，上传到后台进行深度分析，再将解决方案在 最快时间内推送给火绒用户。 正是这套威胁情报系统，帮助火绒安全团队截获、分析出大量和“隐匿者”相 关的信息，从而完成了这次对黑客犯罪团伙的“完美追踪”。在此之后，火绒将持续 跟踪该团伙的犯罪活动，随时根据“隐匿者”释放的恶意代码升级“火绒安全软 件”，保护用户的安全。 THE HIDDEN HUORONG BORUI (BEIJING) TECHNOLOGY CO., LTD. 二、 数据线索 在火绒终端威胁分析系统中 ，我们找出与攻击相关的全部恶意 CC 服务器域名。通过 梳理近半年的活跃 CC 服务器 ，我们列举出了数据量最大 10 个的 CC 服务器地址 ，如下 图所示 ： 域名汇总 以时间为轴 ，我们可以直观的看到依托于不同 CC 服务器域名的攻击爆发趋势 ，如下 图所示： 触发防御点的域名爆发趋势 通过上图可以看出 ，、mykings.