• 机构投资者应合理审慎报价 2019-07-16
  • “2018上影之夜”姜文等为“谢晋经典电影回顾展”揭幕 2019-07-10
  • 交大钱学森学院举行毕业典礼 14毕业生赴世界排名前百大学读研 2019-07-10
  • 西安市:构建“五方联动”社会治理新格局 2019-06-23
  • IP定向--云南频道--人民网 2019-06-23
  • 育儿十大坎 新手妈妈快快get起来 2019-06-21
  • 吉林:让更多农村孩子参加少年宫活动 2019-06-21
  • 美国发起贸易战,我们要让世界知道美元、美债并不可靠 2019-06-05
  • 紫光阁中共中央国家机关工作委员会 2019-05-31
  • 监察体制改革后 湘西半年72名公职人员主动交代问题 2019-05-12
  • 媒体宣传报道重庆日报 王国平:扮靓重庆两江四岸” 让城市有机更新 2019-04-26
  • 我相信“交警雨中护送高考生”是真,“交警雨中护送高考生”反被该高考生家长投诉是假。 2019-04-16
  • 14名消防员日巡逻28公里 洗冷水澡 2019-04-10
  • 靶壕有了“蓝军”,百发百中的“神枪手”练起来 2019-04-10
  • 不是秀强大了,别人就会来做朋友,这逻辑不对 2019-04-01
  • 频道栏目
    神奇公式秒杀全国11选5 > 安全 > 网络安全 > 正文

    福建福彩网:贪狼Rootkit僵尸家族再度活跃:挖矿+DDOS+劫持+暗刷

    2018-10-19 10:11:00         来源:[db:作者]  
    收藏   我要投稿

    神奇公式秒杀全国11选5 www.2zfa.com 概述
    “Ghost”盗版系统和系统激活工具一直都是国内病毒传播的重要渠道之一,尤其以Rootkit/Bootkit类型的顽固病毒居多,此类病毒安装普遍早于安全软件,大多会通过内核层来隐藏?;ぷ陨砟??,并凭借植入时机的先手优势和安全杀软进行深层对抗。
    近期通过“捕风”威胁感知系统监控,我们发现“贪狼”Rootkit僵尸家族在近2个月开始再次活跃,“贪狼”病毒一直都是盗版系统预装渠道中的活跃家族,早期变种可以追溯到2015年,起初主要用于主页劫持和流量暗刷,从我们的监控记录看,“贪狼”基本上每年都会有一次较大的活跃更新,在17年初曾被安全友商命名为“狼人杀”并分析曝光,短暂潜伏以后在17年9月份又出现过小幅更新,今年6月份开始“贪狼”家族开始再度活跃,除了Http(s)劫持??椴欢霞忧客?,开始顺应黑产潮流加入“门罗币”挖矿功能???,并且在6月4号开始通过更新渠道下发“Hydra”DDOS木马插件,“贪狼”僵尸网络的威胁度和攻击性正在不断加强。
    正文
    “贪狼”Rootkit病毒主要通过ghost系统等渠道感染用户计算机,通过多种方式隐藏自身、对抗杀软,同时??橹诙?,功能灵活复杂。不同??榉直鹗迪?a href="//www.2zfa.com/os/liulanqi/" target="_blank" class="keylink">浏览器劫持、ddos攻击、加密货币挖矿、刷量等功能。根据检测到的感染量估算全国超过50万机器遭到感染。
    ??槊?br /> 主要功能
    Platform.dll
    功能??楦?、加载等
    ConsoleApplication8.dll
    门罗币挖矿
    HydraClient.dll
    DDOS攻击
    StevenRobot.dll
    上报、下拉配置
    mLoader.dll
    插件加载器
    UserFramework.dll
    插件核心框架、
    KernelManager.dll
    插件管理
    HSManager.dll
    主页劫持
    WebBrowser.dll
    后台广告刷量
    AppManage64.dll
    浏览器劫持
    SSLHijack1.0.6-win64.dll
    HTTPS劫持
    Hijack.dll
    浏览器劫持
    KernelHijack.sys
    内核劫持???br /> 各??橥ü略氐奖镜刂葱?,被RC4或AES加密;且都有统一的导出名称BsProcessStartup、BsDllStartup、BsCleanup、BsEnvironment;

    ??楸蛔⑷氲侥勘杲毯笾苯拥饔肂sProcessStartup或BsDllStartup;BsProcessStartup和BsDllStartup首先确定加载基址,并获取peb、teb相关信息初始化导出结构体BsEnvironment,然后进行重定位修复、导入表初始化、CRT初始化、添加异常处理表等前置工作,最后进入主功能函数。
    ??樽约釉?,自初始化流程:


    由于??橹诙?,下面简单分析其中几个??榈闹饕形?。
    核心驱动???br /> 1、驱动加了VMP壳?;?,加载后注册进程回调、映像回调、注册表回调、关机回调,并创建3个内核线程;
    2、通过进程回调APC注入内置Platform.dll到lsass.exe,Platform.dll执行真正的病毒行为;
    3、映像回调拦截浏览器进程的杀软??榧釉?;
    4、注册表回调?;ぷ陨砬裣?;
    5、关机回调回写自身驱动文件和注册表服务项

    R3层核心框架Platform.dll
    该??槭乔谥玫哪??,核心功能是加载挖矿??楹拖略嘏渲梦募⒏缕渌??。
    1、加载内置的ConsoleApplication8.dll(挖矿??椋?;
    2、挂钩NtQuerySystemInformation(针对taskmgr.exe,进程名过滤);
    3、挂钩LdrLoadDll(针对360se.exe、360chrome.exe),过滤杀软的浏览器?;つ??br />
    4、访问C&C服务器,内置多个备用服务器地址;上传机器信息并下载配置文件,
    hxxps://client.115ww.com/api/_mv_bamboo.html?REV=0&RC=0&PID=3&CID=0&UID=0&VER=0&RM=&DMJ=0&DMN=0&DBL=0&UMJ=0&UMN=0&UBL=0&MID=&BW=64&NTMJ=6&NTMN=1&NTBL=7601&NTSPMJ=1&NTSPMN=0&NP=1&MM=2146951168&OSTC=1843198&SVSN=C6BDE606&SVFS=NTFS;

    配置文件解密后如下:

    5、根据配置文件进一步下载其他??椴⒓釉刂葱?。
    内嵌“门罗币”挖矿??镃onsoleApplication8.dll
    pdb路径:
    L:\github\ConsoleApplication8\x64\Release\ConsoleApplication8.pdb

    1、 ConsoleApplication8.dll内置一个zip文件,包含config.json、start.cmd、xmrig.exe;
    2、 查询注册表 [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\KingsoftInternet Security]的值“UninstallString”,成功则直接返回,不进行挖矿;

    3、 解压zip文件并加载挖矿??榻型诳?;
    4、 挖矿钱包和矿池地址如下:

    浏览器劫持??锳ppManage.dll
    pdb路径:
    E:\Code\Ivipm\source\AppManger\AppManger\x64\Release\AppManage.pdb
    通过APC方式被注入到进程,如果进程是360se.exe、360chrome.exe,则查找并删除文件sesafe.dll;

    如果进程是以下杀软进程,则查找并删除文件QMProtect.dll、QMProtect64.dll、QMIESafeDll.dll、QMIESafeDll64.dll;如果进程名包含qqpc则直接退出进程。


    如果进程是explorer.exe,则挂钩CreateProcessInternalW、RtlCreateProcessParameters、ZwCreateUserProcess、RtlCreateProcessParametersEx,对以下浏览器进程的命令行参数进行劫持;


    同时还会向系统添加根证书,用于https劫持:

    DDOS攻击插件HydraClient.dll
    pdb路径:
    C:\Users\Lon\source\repos\DDos\x64\Release\HydraClient.pdb
    该??橥ü鼳PC方式被注入到进程wuauclt.exe,是DDOS攻击???;CC地址为115.231.219.32;支持常见的DDOS攻击方式。



    上一篇:幽灵间谍:TrickBot新变种运用“无文件”技术发起攻击
    下一篇:知己知彼之新型勒索Viro Botnet Ransomware的功能分析
    相关文章
    图文推荐

    关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 神奇公式秒杀全国11选5

    版权所有: 神奇公式秒杀全国11选5--致力于做实用的IT技术学习网站

  • 机构投资者应合理审慎报价 2019-07-16
  • “2018上影之夜”姜文等为“谢晋经典电影回顾展”揭幕 2019-07-10
  • 交大钱学森学院举行毕业典礼 14毕业生赴世界排名前百大学读研 2019-07-10
  • 西安市:构建“五方联动”社会治理新格局 2019-06-23
  • IP定向--云南频道--人民网 2019-06-23
  • 育儿十大坎 新手妈妈快快get起来 2019-06-21
  • 吉林:让更多农村孩子参加少年宫活动 2019-06-21
  • 美国发起贸易战,我们要让世界知道美元、美债并不可靠 2019-06-05
  • 紫光阁中共中央国家机关工作委员会 2019-05-31
  • 监察体制改革后 湘西半年72名公职人员主动交代问题 2019-05-12
  • 媒体宣传报道重庆日报 王国平:扮靓重庆两江四岸” 让城市有机更新 2019-04-26
  • 我相信“交警雨中护送高考生”是真,“交警雨中护送高考生”反被该高考生家长投诉是假。 2019-04-16
  • 14名消防员日巡逻28公里 洗冷水澡 2019-04-10
  • 靶壕有了“蓝军”,百发百中的“神枪手”练起来 2019-04-10
  • 不是秀强大了,别人就会来做朋友,这逻辑不对 2019-04-01
  • 黑龙江十一选五第20期的中奖号码 吉林十一选五分布走势 笨重的生肖是什么 快三玩法技巧大小单双 nba比分网址 去买上海时时彩平台哪个好 海南体育彩票飞鱼查询 号外彩票官网 7星彩每周几开奖 连码三全中是什么数字 江苏十一选五开奖记录 港澳中特四句诗 36选7要中几个才有奖 七乐彩加奖办法 彩票2元彩票网