黑客犯罪团伙隐匿扒皮竟然中国

旅游团黑客事件

赛博世界似乎永远处于黑暗。

每一个进入的人都拿着照明工具摸索前进,可惜的是,能照出来的只有自己眼前狭窄的一道光源。

“隐匿者”主要利用这些“肉鸡”来“挖矿”——生产比特币,以此抢夺其他黑客团伙的“肉鸡”,删除其他黑客的后门账户、结束其后门进程、关闭可被能利用的攻击端口等,“隐匿者”会“黑吃黑”,最近,为了霸占用户设备长期牟利。

早在 4 月 29 日,这比恶性病毒WannaCry5 月 12 日首次爆发还早 2 周时间,作为一个四处打劫的作恶团伙,时时打磨手中利剑格外重要,“隐匿者”就将刚泄露十余天的“永恒之蓝”漏洞加入自己的黑客工具箱中。

所以这个作恶累累的黑客团伙是如何被一点一点挖掘出来的呢,宅客频道整理了相关数据线索。

一、 数据线索

通过梳理近半年的活跃C&C服务器,我们找出与攻击相关的全部恶意C&C服务器域名,我们列举出了数据量最大 10 个的C&C服务器地址,在火绒终端威胁分析系统中,如下图所示：。

域名汇总

以时间为轴,我们可以直观的看到依托于不同C&C服务器域名的攻击爆发趋势,如下图所示：。

触发防御点的域名爆发趋势。

、mykings.pw、mys2016.info、mykings.top四个域名在攻击时间和爆发数量上呈现出了此消彼长、持续攻击的威胁态势,上述四个C&C服务器域名可能同属于一个黑客团伙,且黑客为了提高其隐蔽性会不断地更换C&C服务器地址,黑客攻陷的主机数量会不断激增,且爆发数量有很强的延续性,通过上图可以看出,通常,所以我们初步猜测。

依据上图的红色上升曲线可以看出,该黑客团伙前期攻击所控制的主机数量增长趋势较为平缓,在 4 月 14 日“Shadow。

Brokers”组织泄露出“永恒之蓝”漏洞之后,该黑客团伙可能将“永恒之蓝”漏洞加入到了渗透工具箱中,在此之后,依托其之前攻陷的主机,使利用mykings.top域名的攻击数量在短时间内快速爆发到了一个较高水平。

该黑客团伙所控制的主机受该病毒影响十分严重,与该黑客团伙相关的防御事件在同样使用“永恒之蓝”漏洞进行传播的WannaCry病毒流行后的很短一段时间之内出现了直线下滑,攻击事件数量稳定在了“永恒之蓝”漏洞爆发之前以下（即上图棕色虚线所示位置以下）,前期该团伙所攻陷的部分主机也受到了直接影响,WannaCry病毒在全球范围内大范围爆发（即上图灰色虚线所示时间点）,表明除利用漏洞入侵主机受到了直接影响以外,其所控制的主机数量有了明显减少,即使该黑客团伙在其后续的攻击中加入了相关的防御功能,所以体现在爆发趋势上,在大部分中毒服务器选择重置系统后,但随后,也依然于事无补,最后。

经过下文详细论证,除上述四个域名外。

且时间点都在与C&C服务器域名相关防御拦截事件数量锐减之后,oo000oo.club和5b6b7b.ru这两个域名也同属于这一黑客团伙,这两个域名首次触发相关防御拦截点的时间非常相近,在该黑客团伙被WannaCry病毒重创之后,开始同时使用多个域名和服务器,所以我们推测,为了能够尽快挽回自己的“损失”,并行为其进行渗透攻击。

由于该黑客团伙长期潜伏于互联网中,所以我们将该黑客团伙命名为“隐匿者”,且其攻击对互联网所造成的威胁随时间逐渐增强。

在近半年中,有多篇其他安全厂商报告中都曾出现过“隐匿者”的足迹,卡巴斯基实验室在 2017 年 2 月发布报告《New(ish) Mirai Spreader Poses New Risks》,提到了前文所述的和mykings.pw 域名。

针对Mirai病毒事件,火绒所拦截到的终端防御事件信息,如下图所示：。

攻击使用的C&C服务器域名信息。

Cyphort实验室在 2017 年 5 月发布报告《EternalBlue。

Exploit Actively Used to Deliver Remote Access。

Trojans》,提到了C&C服务器域名mykings.top,报告中指出,黑客借助“永恒之蓝”漏洞进行攻击。

火绒在该病毒事件中拦截到的相关终端防御信息,如下图所示：。

攻击使用的C&C服务器域名信息。

另外三个域名（js.mys2016.info、js.oo000oo.club、js.5b6b7b.ru）虽然也都属于这个黑客团伙,但是至今还没有安全厂商对其进行过相关分析,将来可能被会被爆出新的安全威胁,火绒终端防御信息,如下图所示：。

攻击使用的C&C服务器域名信息。

二、同源性和样本分析

与前文所述六个域名及其子域名命名具有非常高的相似性,顶级域名命名方式相似,其中三个域名都为“my”开头,如下图所示：。

主域名列表

二级域名按C&C功能命名,分别包括“js.”、“down.”和“wmi.”三种域名形式,如下图所示：。

子域名列表