本文作者:360追日团队
摘要 · 最早可以追溯到2007年开始进行制作并传播恶意代码等互联网地下产业链活动,一直活跃至今。· 制作并传播的Hook007类样本HASH数量达到17万个,相关恶意代码云查询拦截次数达到1.3亿次,相关恶意代码主要以后门和盗号程序为主。· 主要针对中国用户,累计受影响用户超过千万,单就Hook007家族统计近一年被感染用户达到50万。· 相关初始攻击主要依托即时通讯工具(QQ\YY等)采用社会工程学方法进行对特定对象进行攻击;相关攻击对象主要为网络游戏玩家等普通网民,另外对教育、金融领域有几次针对性攻击。· 进一步攻击方式主要是将恶意代码伪装为图片、文档等发送给特定对象,另外是制作虚假游戏平台网站,网站提供伪装游戏平台(game456等)安装包的恶意代码。· 该组织持续与安全厂商进行对抗,至少针对包括360在内的3款国内安全软件,以及卡巴斯基、比特梵德等国外相关安全产品采取过针对性技术措施,对抗行为最早可以追溯到2008年。对抗手段从实体文件到通信协议进行相关对抗,主要针对本地静态扫描、云查杀、主动防御策略和网络层等环节的检测。另外值得注意的是该组织成员会主动将恶意代码上报给安全厂商,目的是申请将恶意程序添加白名单或者探测安全厂商检测机制。单就Hook007这个家族,我们对相关产品进行了多次升级或检测策略调整。· 该组织主要以窃取用户数据、互联网资源与服务滥用进行牟利。经过推算作者单就Hook007这一种远控,每年至少获利超过百万。另外通过窃取用户数据和虚拟财产,造成每年普通网民财产损失逾千万元。Hook007这条地下产业链获利总额已经过亿。· 该组织相关成员分工明确,从制作恶意代码到最终获利组成了一条完整的地下产业链。主要包含制作恶意代码、传播、更新、获利等环节。内容概览 第一章 若干年的地下产业链活动一、关于007组织的产业链二、影响范围最大的地下产业链三、攻击目标四、攻击时间(变化趋势)五、牟利六、用户反馈第二章 攻击手法分析一、典型攻击流程二、恶意代码传播三、持续对抗四、制作和更新第三章 该组织使用的C&C.一、C&C分类(基于功能)二、依托第三方平台中转第四章 幕后始作俑者附录1 Hook007家族样本分析报告附录2 007组织涉案金额估算附录3 C&C. 附录4 MD5值第一章 存在若干年的地下产业链活动 一、关于007组织的产业链
我们从2011年开始发现Hook007家族恶意代码,通过我们的持续监控和分析,幕后庞大的黑客组织逐渐浮出水面,我们将该组织命名007组织。该组织最早从2007年开始进行制作并传播恶意代码,窃取用户数据、虚拟财产等互联网地下产业链活动,一直活跃至今。这是我们目前捕获到的影响范围最大,持续时间最长的地下产业链活动。
以007组织为主的地下产业链主要涉及商品是技术服务和恶意代码,该组织的核心商品是Hook007远程控制恶意代码,进一步主要包含制作恶意代码、传播、更新、获利等环节。Hook007远程控制是该组织独立开发并进行持续的更新维护。007组织具备严密完整的组织结构,其中核心成员主要为开发和一级代{过}{滤}理销售,目前我们能明确掌握的是通过恶意代码这种商品的交易是该组织牟利的主要手段之一。相关恶意代码传播到最终通过窃取用户数据进行牟利这一环节我们可以确定是该地下产业链的一部分。
图1 消费者与生产者基本关系 007组织涉及的地下产业链中主要还是充当卖家(生产者)的角色。从下图商品分类中,可以看出007组织涉及的商品主要为恶意代码(远控、免杀等工具)和提供相关技术服务。另外该地下产业链中其他环节会包括数据信息、权限、漏洞等商品,但不是007组织主要涉及的商品类型。
图2 地下产业经济链体系中商品分类 二、影响范围最大的地下产业链
007组织相关攻击活动最早可以追溯到2007年,从2011年开始非常活跃。制作并传播的Hook007类样本HASH数量达到17万个,变种数量达到66种,相关恶意代码传播达到1.3亿次。另外我们近三个月捕获到该家族的免杀器版本已超过上百个,购买用户超过600个。该组织的相关攻击活动主要针对中国用户,累计受感染用户超过千万,单就Hook007家族统计近一年被感染用户达到50万。
该组织在攻击成功后会通过远程控制强行阻止用户操作游戏,并直接将用户的虚假财产、游戏装备进行交易转给盗号者帐号。另外该组织一直与安全厂商进行持续的对抗,从静态查杀、动态检测到网络不同层面进行躲避和对抗。
这是我们历年来捕获到的影响范围最大,持续时间最长的地下产业链活动。
三、攻击目标
通过我们的研究分析可以得出,007组织主要针对中国地区的用户,其中主要关注网络游戏玩家等普通网民。
另外对教育、金融领域有几次针对性攻击:
表1 相关恶意代码原始文件名 表2 Hook007家族感染情况统计 图3 近一年受Hook007家族影响的用户数量 四、攻击时间(变化趋势)
图4 恶意代码更新记录 上图是我们就Hook007家族变化趋势的记录,每个时间点都是Hook007家族新增变种或者相关攻击方式或资源有重大变化的记录。
007组织相关攻击活动最早可以追溯到2007年,而从2011年开始Hook007家族开始影响比较广泛,可以看出在2014年到2015年期间Hook007版本更新迭代非常频繁。
五、牟利
(一)恶意代码
恶意代码的制作和更新维护是007组织的核心业务。进一步相关类型主要是木马生成器、免杀和一些定制木马。作者每年单就Hook007这一种远程控制恶意程序获利就已超过百万。下图是我们截获的该组织相关恶意程序的报价单。
图5 007组织相关恶意代码报价单(更新时间为2010年7月) 我们近三个月捕获到该家族的免杀器版本已超过上百个,购买用户超过600个。下图是购买相关恶意程序的地下产业链成员的分布情况,可以看出以广东省最多,其次是河南和山东省。
图6 购买Hook007远控的地下产业链成员分布(最近三个月数据) (二)窃取用户数据
Hook007远程控制主要功能就是攻击者可以完全控制受害者的机器,攻击者可以下发任意控制指令。从我们收到的大量被感染Hook007木马的用户反馈中可以得知,该组织在攻击成功后通常会通过远程控制强行阻止用户操作游戏,并直接将用户的虚假财产、游戏装备进行交易转给盗号者帐号。也就是主要以窃取用户虚拟货币、网游装备来进行牟利。通过窃取用户数据和虚拟财产,造成每年普通网民财产损失逾千万元。
(三)其他
DDOS:该组织成员有开发如“毁灭者DDOS”等DDOS工具,由此我们怀疑除了工具的开发,相应地下产业链可能有涉及相关DDOS攻击业务。
恶意推广:通过我们监控发现,该组织在控制受害者主机之后,可能会远程控制下载执行推广包,通过安装量来达到牟利的目的。
六、用户反馈
我们从第三方平台和360论坛等平台收到大量用户反馈,相关反馈主要集中在已经造成用户财产损失的用户求助信息。
以下是一些典型用户反馈的截图和链接:
图7 用户反馈截图1 参考链接
图8 用户反馈截图2 参考链接
图9 用户反馈截图3 参考链接
图10 用户反馈截图4 参考链接
第二章 攻击手法分析 一、典型攻击流程
(一)基于即时通讯工具
图11 典型攻击流程(基于即时聊天工具) 具体攻击步骤:
a、攻击者首先依托游戏平台进行“喊话”或发站内信,以出售、收购或交换游戏装备的名义发送虚假消息,并留下QQ号。
b、受害者通过游戏平台了解到攻击者发送的消息,如果受害者不知情则有可能添加攻击者联系方式,主动联系攻击者。
c、进一步攻击者通过QQ等即时聊天工具进一步获取受害者信任。
d、当攻击者取得受害者一定程度信任后,攻击者会将木马文件伪装成“装备图片”等发送给受害者,受害者接收执行后则被植入相关后门木马,被攻击者控制。
e、远程控制玩家电脑,锁定计算机的键盘、鼠标,或设置屏幕黑屏。并短时间内将玩家的游戏装备,金币交易给盗号者的帐号。
(二)基于假冒网站
图12 典型攻击流程(基于假冒网站) 具体攻击步骤:
a、攻击者首先制作假冒网站,这里主要是假冒如game456类游戏平台网站,同时会制作相应虚假的恶意安装包程序。最终假冒网站上的下载链接会指向这个虚假安装包程序。
b、进一步攻击者需要让相应用户访问假冒网站,主要途径是通过搜索引擎和基于即时聊天工具等平台。攻击者会使用付费推广等方法,使得相关假冒网站在搜索某些关键字的时候,可以优先呈现在搜索结果中。
c、受害者从搜索引擎搜索出或者从聊天工具中收到相关假冒网站链接,并点击打开假冒网站,则有可能下载相应虚假安装程序。假冒网站制作的与正常官方网站从外观看基本一致,用户很难辨别真伪。另外相关游戏平台官方网站或者安装包的来源是否为官方源本来就没有清晰明确的提示,所以用户从搜索结果中很难识别哪些是可信,那些是恶意的。
d、当受害者下载并执行了虚假安装包,则操作系统会被攻击者控制。
e、远程控制玩家电脑,锁定计算机的键盘、鼠标,或设置屏幕黑屏。并短时间内将玩家的游戏装备,金币交易给盗号者的帐号。
注:
以上是主流的攻击流程,一些非主流攻击流程没有具体展开。如利用邮件附件传播、挂马传播等传播方式,DDOS攻击,在受害主机上下载执行推广包等获利模式等。
二、恶意代码传播
恶意代码的传播方法主要集中在依托即时通讯工具和网站。其中以依托即时通讯工具这种方式占主流。
(一)即时通讯工具
攻击者主要依托即时通讯工具进行恶意代码传播,从目前捕获到的情况主要分为直接发送PE可执行程序,另一种是QQ群共享。该方法针对性强,但也容易被受害者感知到。
图14 通过YY传播的文件形态示例 由于Windows系统默认是不开启显示后缀和隐藏文件的。所以受害者们接收到这些文件压缩包解压后,发现木马文件里面只含有“BMP格式”的图片(实则是指向病毒程序的快捷方式),而真正含有恶意代码的文件则被隐藏起来
(二)网站
1)假冒游戏平台网站
攻击者会搭建虚假的游戏平台,并通过搜索引擎、弹窗等手段推广。假冒的游戏平台网站与官方网站外观一致,受害者很难分辨真伪。攻击者会将虚假的恶意安装包放置到假冒的网站上,当用户访问网站下载并执行相应虚假安装包则会被攻击者控制。
下图是我们在某知名搜索引擎上搜索凤凰山庄的搜索结果。可以看到,第一页的两条推广结果为假冒的网站。
图15 “凤凰山庄”搜索结果 图16 假冒凤凰山庄网站(左),凤凰山庄官网(右) 上图假冒凤凰山庄和官网的对比截图,我们可以看出除了网址不同,其他页面外观均一致。很难分辨真伪。
攻击者不是单一选择一款游戏平台进行假冒伪装。我们可以从下表看出,攻击者假冒了很多游戏平台。具体参看下表:
表3 假冒游戏平台网站列表 2)官方网站安装包被替换
我们捕获到从某些游戏平台官方网站下载的安装包被替换为包含恶意代码的虚假游戏平台安装包。
进一步我们分析官方可信网站存在恶意虚假安装包这种情况,可能由以下两种情况导致:
第一、相关官方可信网站被攻陷,正常安装包被攻击者替换;
第二、官方可信网站的相关工作人员可能刻意替换放置恶意虚假安装包。
从我们的分析来看,更倾向于第一种情况。下面是凤凰游戏山庄网站存在恶意虚假安装包的情况:
表4 被替换恶意虚假安装包具体信息 三、持续对抗
该组织持续与安全厂商进行对抗,至少针对包括360在内的3款国内安全软件,以及卡巴斯基、比特梵德等国外相关安全产品采取过针对性技术措施,对抗行为最早可以追溯到2008年。对抗手段从实体文件到通信协议进行相关对抗,主要针对本地静态扫描、云查杀、主动防御策略和网络层等环节的检测。另外值得注意的是该组织成员会主动联系安全厂商,目的是申请将恶意程序添加白名单或者探测安全厂商检测机制。单就Hook007这个家族,我们对相关产品进行了多次升级或检测策略调整。以下将从静态查杀、动态检测、网络监控和探测厂商检测,这四个方面逐一展开相关对抗手法的介绍
(一)静态查杀
图17 静态查杀对抗相关发展变化趋势 从上图可以清晰看出Hook007在静态查杀相关对抗发展历程,如字符串从明文更新到加密字符串,最后为无字符串特征。
早期的Hook007家族是通过暴风白利用,然后再扩展到其他厂商(如迅雷等)白文件利用。所谓“白利用”通常指的是病毒利用正规厂商的正常程序作为掩护,通过这些程序在判断逻辑上的一些缺陷利用其加载木马作者的提供的恶意代,用以逃避安全软件的查杀。最近一段时间,该族系木马则改为利用微软的rundll32.exe文件运行含有恶意代码的dll文件。
(二)动态检测
1)使用特殊浮点指令bypass虚拟机查杀
2)LDTDetect:检测LDT基址位于0×0000时为真实主机,否则为虚拟机
3)GDTDetect:检测GDT基址位于0xFFXXXXXX时说明处于虚拟机中,否则为真实主机
4)VMwareDetect:检测VMware特权指令来检测虚拟机
5)起初是自启动,之后进一步更新为一次性
6)逐渐阉割Gh0st后门敏感功能
(三)网络监控
1)使用3322上线->其他动态域名->顶级域名->直接ip->微博,网盘中转
2)Gh0st上线协议->修改协议头->逐渐修改成无特征协议
图18 恶意代码与服务器通信变化趋势 (四)探测安全厂商检测机制
为了木马能更有效的避免安全厂商检测,该组织成员有主动提交相关样本,来探测安全厂商检测机制的活动。
攻击者探测的方式主要通过给安全厂商样本上报邮箱发送邮件和通过安全厂商官方论坛反馈问题和样本。下图是攻击者给比特梵德、卡巴斯基和360安全厂商发送的探测邮件截图。
图19 攻击者探测(通过邮件1) 图20 攻击者探测(通过邮件2) 表5 被探测相关安全厂商列表 下面两张图片是该组织在2013年12月和2015年9月分别提交的两个贴,均提交到360论坛问题反馈子板块。
图21 攻击者探测(通过论坛反馈1) 参考链接
图22 攻击者探测(通过论坛反馈2) 参考链接
四、制作和更新
007组织在开发的恶意代码工具种类比较多,其中以给力远程控制工具和给力免杀器为主。而相关更新维护则主要是针对Hook007家族进行相关更新。
(一)007相关恶意软件
图23 Hook007相关恶意软件种类 从上图我们可以看出007组织会涉及到制作或传播给力免杀、给力远控、盗号木马、DDOS、漏洞扫描、下载者和其他远控,其中给力免杀和给力远控是007组织主要开发和维护的工具。
以下主要是该组织核心成员开发的相关工具的截图。作者在工具上都会留下自己的昵称(早期为小寡妇007,后期主要是Hook007)和QQ号(24585329)。
图24 remote007工具截图 图25 大牛B下载者生成器截图 图26 阿凡提远程控制软件截图 图27 毁灭者DDOS界面 图28 相关捆绑工具截图 (二)Hook007远程控制(给力远控)
我们一直持续跟踪监控的Hook007家族,其生成器作者命名为“给力”远控。
图29 给力远程协助工具 图30 给力远程协助工具登录验证工具 图31 给力免杀器 (三)Hook007远程控制迭代更新
该组织制作的恶意代码主要以伪装图片或文档,虚假安装包这两种形态,这两种最终后门程序均为Hook007家族,是基于Gh0st进行修改的版本。
图32 恶意代码更新记录 Hook007家族主要更新变化趋势
2012 年之前,Hook007家族,还是原始版本的Gh0st远控,启动参数带有Hook007,fuck360,fuck007等,通过不同的启动参数,决定木马执行安装流程还是远控流程。2012年中旬,基于开源远控协议,大约每两三天发一批新域名的木马。IP由域名解析得到。2012年底,基于开源协议进行小幅度变种。大约每两三天发一批新域名的木马。IP由域名解析得到。2013年中旬,基于开源协议进行大幅度变种,需通过大数据分析捕获协议特征。大约每天发一到两批新域名的木马。IP由域名解析得到。2013年中下旬,基于开源协议,针对360监控模式,加入混淆数据,大约每天发三到四批新域名的木马,IP由域名解析得到。2014年初,基于开源协议加入迷惑性数据,伪造成其他常见数据协议,难与主流协议区分。无新域名,采用直接访问IP,大约每天发七到八批新IP的木马。2014年中旬,网络协议为自定义协议,同时伪造成其他常见数据协议,通过第三方平台网站的自定义内容跳转到制定IP,大约每天发六到七批新木马。2015年初,网络协议为自定义协议,直接请求IP,如果无法上线,再通过第三方平台网站的自定义页面查找新IP,约每半小时一批新IP木马。2015年中下旬,更新自定义协议,直接请求IP,如果无法上线,再通过第三方平台网站的自定义页面查找新IP,约每半小时一批新IP、新协议木马。第三章 该组织使用的C&C 一、C&C分类(基于功能)
该组织出现使用的C&C(Command and control,通信控制)非常多,相关域名、IP也是分工明确。我们大概从C&C功能的角度分析出相关C&C的种类:
1) 直接连IP2) 连攻击者所持有的域名,进一步解析域名指向IP3) 连接腾讯微博,解析页面中IP4) 连接永硕E盘,解析页面中IP5) 验证或更新的IP:专用于后门更新的服务器。6) 伪造游戏平台网站的域名和IP另外在本报告“第二章 攻击手法分析”中“三、持续对抗”章节,我们已经介绍了攻击者在网络层面是如何进行持续对抗的,也就是下图可以看出攻击者在选择C&C的变化趋势。
图33 恶意代码与服务器通信变化趋势 二、依托第三方平台中转
下面两个图是永硕E盘和腾讯微博获得上线IP的具体截图:
图34 利用永硕E盘获得上线IP 图35 利用腾讯微博获得上线IP 下面两个截图是攻击者用来解析腾讯微博上线IP地址的工具,和该工具相关代码截图。
图36 解析微博、网盘工具 图37 微博IP查询器相关代码截图 第四章 幕后始作俑者 007组织相关成员分工明确,从制作恶意代码到最终获利组成了一条完整的地下产业链。主要包含制作恶意代码、传播、更新、获利等环节。
从目前我们已知的数据来看,该组织相关成员主要分布在湖北、山东和广东三个地区。
图38 007组织架构 007组织主要以Hook007(嫌疑人01)为主,Hook007和另一名嫌疑人02是主要开发人员,开发的恶意软件以Hook007远控(给力远控)为主。另外Hook007与黑友(又名黑色经济,嫌疑人08)在早期就有相关业务合作,黑友的角色与广东熊二(嫌疑人06)相似。相关更新维护工作主要围绕Hook007远控展开。以Hook007远控为主的恶意软件会提供给山东相关同伙和广东同伙,其中以广东的熊二为主。以广东熊二为例,熊二作为代{过}{滤}理商的角色会将相关远控工具在提供给其他下级买家。
进一步后续会有专人负责传播恶意代码和相关窃取用户数据、恶意推广。由于相关传播过程需要社会工程学欺骗受害者,以及需要与受害者多次交互,所以我们推测相关传播恶意代码的人员和窃取用户数据的人员会有重叠的情况。最后相关人员将窃取的数据信息通过第三方网络游戏交易平台或其他渠道进行交易,最终达到获利。
另外值得我们注意的是广东相关同伙的上家除了Hook007,还有其他组织提供大量的恶意程序。另外山东同伙涉及Android木马(以短信拦截马为主)的相关业务。
附录1 Hook007家族样本分析报告 具体请参看:
1、“罪恶家族——Hook007木马”,http://blogs.360.cn/blog/Hook007_trojan/
2、“罪恶家族Hook007之潜伏篇”,http://blogs.360.cn/blog/hoook007/
附录2 007组织涉案金额估算
附录3 C&C 涉及到的部分域名和IP:
0710yx.aliapp.com0710yx.asia0710yx.xmwwy.com0710yx.yksyx.org07l0.gamr89.com07l0yx.co106.111.140.16106.226.228.105106.80.54.138106.80.56.59111.195.244.2014.119.236.21214.119.237.10314.119.239.17414.119.241.1654004572.ys168.com983830035.ys168.coma594250576.ys168.coma6601251.ys168.combobo.haoyue1688.comccl0579.comcng.minsun.ccdioeopp.orgewq889966.ys168.comt.qq.com/a_739377521t.qq.com/a1005561469t.qq.com/a1156573029t.qq.com/a125245585t.qq.com/a12d132t.qq.com/a136410138附录4 MD5值 部分恶意代码的MD5值:
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*作者:360追日团队(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
| 
发表于 2015-12-11 16:45:44
发表于 2015-12-11 17:45:29
