整合營銷服務商
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
020年6月,警方破獲一起大規模網吧非法植馬案件,該案件主要為通過上機植馬的方式,向多家網吧服務器植入“STUpdater.exe”木馬,并對網吧服務器及主機進行遠程控制,從而盜取大量游戲賬號;在進一步確認后發現,廣州、合肥、成都等多地網吧也接連出現類似情形,對網絡安全造成巨大危害,嚴重擾亂了社會秩序。
360安全大腦在接到警方協助偵查需求后,結合安全大數據分析研判,成功掌握了該攻擊木馬的入侵原理、最終目的以及控制服務器地址等重要信息,并通過追蹤溯源,最終發現散布木馬的作案元兇。
目前,在多地警方的統一部署與通力配合下,作案人員已被繩之以法,關于案件的后續偵辦正在有序推進中。
犯罪團伙周轉多地散布病毒
漢中、咸陽、西安等網吧頻現木馬危機
警方在接到報案后,前往多家事發網吧對服務器進行勘驗;在調取近期監控視頻和上機記錄的過程中,發現木馬植入幾分鐘前,存在可疑人員使用虛假身份證開機操作,并在幾分鐘后結賬下機。
根據該虛擬身份進行軌跡核查得知,犯罪嫌疑人5月23日由四川簡陽出發,乘坐動車、飛機途經漢中、咸陽、西安等地,并在沿途網吧皆完成植馬操作。
360安全大腦在整合警方提供信息后發現,不法分子主要通過線上招募的方式,安排大量人員前往不同地區的網吧門店,使用客戶機來攻擊網吧服務器,且通常只上機5分鐘左右就離開,行蹤十分隱蔽。
同時,為了拓展犯罪行徑,作案人員在進行線上招募時,主要通過在社交軟件上發布一些誘人的“小廣告”,來吸引一些想賺外快的代理人員,幫助他們完成網吧攻擊木馬的投放。
因此,存在多個作案幫手同樣按照一定路線到沿途網吧,使用遠程控制軟件進行植馬,廣州、合肥、成都等多地網吧皆淪為攻擊目標。
360安全大腦在進一步的分析研判后發現,作案團伙如此大動干戈的種植木馬,并非企圖利用網吧電腦進行非法挖礦,而僅是為了盜取網吧玩家的游戲賬戶。目前,警方已抓獲作案團伙管理人員,并發現涉案人員20余人,在多省市網吧非法植馬。
吸睛福利誘導用戶下載使用
“網游加速器”成盜號木馬藏身之所
在對該木馬攻擊進行追蹤溯源后,根據已成功掌握的入侵原理、最終目的以及控制服務器地址等重要信息,360安全大腦分析出了該作案團伙的整體運行流程。其中,作案團伙利用多樣的攻擊方法,對“易樂游”、“網維大師”和“云更新”3種主流網吧管理平臺實施入侵,從而完成了大規模的網吧植馬。
通過360安全大腦關聯“STUpdater.exe”木馬相關的攻擊鏈,快速定位到了網吧攻擊木馬的傳播載體是一款經過修改的“熊貓加速器”。有意思的是,該軟件安裝完成后,會通過“網吧安裝激活送獎勵”等福利提示,將自己包裝成看似正常推廣的“合法”軟件,來吸引用戶使用。
而實際上,安裝目錄里會添加一個捆綁的木馬模塊“wke.dll”,該模塊利用DLL側加載技術在熊貓加速器主程序啟動時自動運行。運行后首先會檢測網吧環境和資質,驗證通過后就聯網下載攻擊網吧服務器的工具,聯網時會附帶傳播載體的渠道號(內置于每個傳播軟件中,本例為“1986”)方便區分和控制。
攻擊工具主要針對3種主流的網吧管理平臺,分別是“易樂游”、“網維大師”和“云更新”。針對每種平臺使用的攻擊方法各有差異,且部分平臺甚至存在多種攻擊方法,但攻擊原理其實都是利用平臺的漏洞來向網吧服務器上傳木馬模塊“AppRead.exe”。
比如針對“易樂游”平臺包含2種攻擊方法,其中一種是直接向該平臺的特定服務端口發送構造數據后,實現了服務器木馬的植入和啟動。
“AppRead.exe”木馬存在兩種不同類型的版本,但本質上都是一個包含遠控功能的后門。比如其中一版自制的簡易后門使用內置C&C列表分別嘗試遠程連接進行上線,成功后則循環等待接收控制端指令。
另外一版除了包含Gh0st遠控模塊,還會下載一個駐留更新的程序“STUPdater.exe”,該程序使用計劃任務在每天中午12點左右自動運行。
攻陷大量的網吧服務器后,作案團伙在6月7號左右開始下發一套盜取游戲賬號的木馬程序“Mount.exe”,該程序負責將核心盜號模塊“zlib1.dll”植入到網吧客戶端運行。
盜號模塊“zlib1.dll”內嵌一個模塊“PersonCard.dll”,PDB路徑信息為“H:\股票信息\QQHook\ReflectiveDLL\Publish\Release\BaseDll\PersonCard.pdb ”透露其是盜取QQ密碼的木馬。該模塊通過檢測窗口類名稱來查找相關的進程,并注入盜號代碼到對應的進程中執行,數據回傳的C&C地址為“123.56.86.25”。
在協助抓捕作案人員的過程中,360安全大腦根據網吧服務器木馬使用的C&C地址 “www.swjoy.org” 和“www.barserver.cn”查詢whois域名注冊信息,發現注冊人出自同一可疑人員,注冊時間與該案件發生時間段也比較吻合。
而后,360安全大腦結合安全大數據追蹤溯源,最終關聯鎖定該木馬病毒作者。
360安全大腦協助追捕作案元兇
切忌沉迷游戲踏上犯罪不歸途
也許是過分沉迷游戲世界,該木馬作者社交軟件個人說明中收藏的github鏈接,表明其也在研究一些網絡游戲的內核代碼,但最終還是走向了偷盜游戲賬號的違法犯罪之路。
不得不說,適量游戲可以有效緩解日常生活中的壓力,但如果過度沉迷游戲,甚至因此而走向犯罪之路,顯然得不償失。針對此次入侵網吧服務器的病毒木馬,360安全大腦已實施全面攔截和查殺,為避免這類攻擊態勢再度蔓延,建議廣大用戶做好以下防護措施:
1、及時前往weishi.360.cn,下載安裝360安全衛士,強力攔截查殺各類病毒木馬;
2、使用360軟件管家下載軟件,360軟件管家收錄萬款正版軟件,經過360安全大腦白名單檢測,下載、安裝、升級,更安全;
3、提高安全意識,為個人電子賬戶設置強密碼和多重驗證;
4、定期檢測系統和軟件中的安全漏洞,及時打上補丁。
0x05 附錄IOC
文件哈希
5a3a410e139eed6652c9e71ea625de29 熊貓加速器.exe
e0c8a4c5149c91b9cc8afb84e0d5fcc8 wke.dll
a267d46932c1b39519142bb4cfad465a AppRead.exe
eebb08efff13dd2100fbc81513c6c671 STUPdater.exe
9a640d97be9f7af1ad7122ce3e43c74f Mount.exe
c25442259c70d23f501907b2174c6a35 zlib1.dll
2444596d72942cdbb9944c14050a2be2 PersonCard.dll
C&C
123.56.86.25
47.110.10.104
www.swjoy.org
www.barserver.cn
128.1.137.26.ipssh.net
0x06 參考鏈接
https://www.shykx.com/category/416.html
https://mp.weixin.qq.com/s/vbDm_Cub4cHdPY8HW_Ickg
https://bbs.txwb.com/thread-2080252-1.html
轉木馬
有些小伙伴0基礎小伙伴擔心,我沒有編程工具怎么辦?
這個不需要編程工具的,只需要找9張圖片改改名稱就行
(1) 新建一個文件夾
(2) 文件夾中新建img文件夾 以及一個txt文檔
(3) 把我放在下面的代碼粘貼到txt文檔中
(4)沒有txt后綴的這樣設置一下(這里以win11為例,點擊查看-->顯示-->文件擴展名)
(5)把文本文檔名稱改為旋轉木馬.html
(6)把圖片放在img文件夾里面,需要9張
(7)圖片重命名為 1.jpg 2.jpg 3.jpg 以此規律命名(200 x 300 像素的圖片)
(8)設置圖片像素(用win自帶照片軟件打開-->點擊... --> 重設大小-->自定義尺寸-->把寬度改成200、高度改成200-->保存)
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
<style>
*{
margin: 0;
padding: 0;
}
.box{
width: 200px;
height: 300px;
/* border: 1px solid black; */
margin: 50px auto;
position: relative;
/* 設置3D 效果 */
transform-style: preserve-3d;
/* 添加3D視距 透視效果 */
/* perspective: 300px; */
transform: rotateX(-15deg);
/* CSS animation動畫屬性
name 定義動畫名稱
duration 定義動畫執行時間 秒/單位
timing-function 定義動畫執行速度 linear 勻速
delay 定義動畫執行等待 秒/單位
iteration-count 定義動畫執行次數 默認為1 無限執行 infinite
animation-play-state 動畫運行狀態控制 默認running運行 paused 暫停
*/
/* animation: name duration timing-function delay iteration-count direction fill-mode; */
animation: move 10s linear infinite;
}
/* 定義關鍵幀動畫 執行我們定義的動畫 */
@keyframes move{
0%{
/* 在CSS3 變幻屬性中 如果要給一個元素添加多個變幻屬性
需要將所有的變幻屬性都寫在transform
*/
transform:rotateX(-15deg) rotateY(0deg);
}
100%{
transform:rotateX(-15deg) rotateY(360deg);
}
}
/* :hover 偽類選擇器 設置用戶鼠標移入時的效果 */
.box:hover{
/* 當用戶鼠標移入時 動畫由默認的運行狀態變成暫停 */
animation-play-state: paused;
}
.box div{
position: absolute;
left: 0;
top: 0;
width: 200px;
height: 300px;
margin-top: 50px;
}
/* :nth-child(1) */
.box div:nth-child(1){
/* 改變頁面第一張圖片 變幻屬性
transform 變幻屬性
rotate 旋轉
translate 位移
*/
transform: rotateY(40deg) translateZ(275px);
}
.box div:nth-child(2){
transform: rotateY(80deg) translateZ(275px);
}
.box div:nth-child(3){
transform: rotateY(120deg) translateZ(275px);
}
.box div:nth-child(4){
transform: rotateY(160deg) translateZ(275px);
}
.box div:nth-child(5){
transform: rotateY(200deg) translateZ(275px);
}
.box div:nth-child(6){
transform: rotateY(240deg) translateZ(275px);
}
.box div:nth-child(7){
transform: rotateY(280deg) translateZ(275px);
}
.box div:nth-child(8){
transform: rotateY(320deg) translateZ(275px);
}
.box div:nth-child(9){
transform: rotateY(360deg) translateZ(275px);
}
</style>
</head>
<body>
<div class="box">
<div>
<img src="./img/1.jpg" alt="">
</div>
<div>
<img src="./img/2.jpg" alt="">
</div>
<div>
<img src="./img/3.jpg" alt="">
</div>
<div>
<img src="./img/4.jpg" alt="">
</div>
<div>
<img src="./img/5.jpg" alt="">
</div>
<div>
<img src="./img/6.jpg" alt="">
</div>
<div>
<img src="./img/7.jpg" alt="">
</div>
<div>
<img src="./img/8.jpg" alt="">
</div>
<div>
<img src="./img/9.jpg" alt="">
</div>
</div>
</body>
</html>
上一篇:ABB機器人Sockets通訊
期講解嘉賓
近年來,加密貨幣作為新興產業,發展速度令人矚目。挖礦木馬是黑客進行網絡交易并獲取加密貨幣的主要手段之一,為了應對挖礦木馬的威脅,基于人工智能的挖礦木馬檢測成為一種有效的解決方案。在本文中,我們將介紹幾種不同類型的檢測引擎如何通過EDR應對當下更加復雜的挖礦木馬攻擊,包括基于加密通信的挖礦行為,采用進程注入等更加隱蔽和高級的無文件攻擊技術來規避檢測等。
挖礦木馬攻擊態勢
挖礦木馬的定義和類型
近年來,加密貨幣種類已超過一萬種,總市值更是超過萬億。加密貨幣的去中心化、無需監管以及交易的匿名性等特性,使其成為黑客進行網絡交易并獲取利潤的主要手段之一。
加密貨幣的獲取依賴于高性能計算機按照特定算法進行計算,這個過程被稱為“挖礦”。由于挖礦需要大量的計算能力,即大量的計算機資源,而維持這種計算能力則需要大量的資金投入。因此,一些黑客便想到了利用“木馬”控制他人的計算機,建立所謂的僵尸網絡,以此來幫助自己挖礦,這種行為就產生了所謂的“挖礦木馬”。當個人或企業的計算機被植入挖礦惡意軟件后,不僅會導致系統卡頓,還會影響設備的性能和壽命,嚴重威脅正常業務運行并造成能源浪費。
圖1-1 黑客利用木馬控制計算機進行挖礦——挖礦木馬
挖礦木馬主要分為三類:
可執行文件型挖礦木馬:
這種木馬通常以惡意程序的形式存儲在受感染的機器上,通過設置計劃任務或修改注冊表項等方式實現持久化,長期進行加密貨幣的挖礦操作。
基于瀏覽器的挖礦木馬:
這種木馬使用JavaScript或類似技術在瀏覽器中執行。只要用戶打開了被植入挖礦木馬的網站,該木馬就會在瀏覽器中執行挖礦操作,持續消耗計算資源。
無文件挖礦木馬:
這種木馬利用合法工具如PowerShell等在機器的內存中執行挖礦操作,具有不落地、難以檢測等特點,更加隱蔽和難以清除。
2022年挖礦木馬攻擊態勢
2022年,華為安全態勢感知系統捕獲到數千萬個挖礦木馬。企業、政府和教育行業成為這類木馬入侵的重災區。而且,挖礦攻擊的數量仍在持續增加。根據華為乾坤安全云服務運營團隊及現網公開報告,挖礦攻擊技術呈現以下變化:
01
隱蔽性提高:挖礦攻擊組織越來越注重隱蔽性,經常采用各種技術手段來隱藏自己的存在。被攻擊者往往需要數十天甚至數月才發現木馬的存在,例如Nitrokod挖礦木馬家族創建的計劃任務周期達到15天。
02
攻擊目標擴大:挖礦攻擊的目標不僅限于個人電腦,還包括企業服務器、云計算平臺等。同時,絕大部分挖礦家族已經支持Windows和Linux雙系統挖礦,并具備橫向移動特性,例如Kthmimu、Hezb、HolesWarm等家族。
03
對抗技術提高:隨著對挖礦攻擊的認識和對抗技術的不斷提高,挖礦攻擊者也在不斷改進自己的攻擊技術。他們采取了一些措施,如創建守護進程、使用無文件攻擊等。一些挖礦家族包括LemonDuck、TeamTNT、Tofsee等也在不斷演進和改進。
這些變化表明挖礦攻擊者越來越注重隱蔽性和攻擊目標的擴大,并且為了適應對抗技術而不斷提升攻擊技術。
挖礦木馬攻擊鏈分析
一般來說,挖礦惡意軟件攻擊鏈條分成四個關鍵步驟:攻擊入侵、挖礦準備、安裝運行以及隱藏自身行為。終端作為攻擊發生的真實載體,是挖礦防御的最主要戰場。
圖1-2 挖礦木馬攻擊鏈
基于上述攻擊特點,華為終端檢測與響應EDR產品推出了三大檢測引擎,從多角度監控系統發生的可疑行為,同時支持一鍵深度處置,徹底修復感染挖礦木馬的系統。
基于AI的挖礦木馬檢測引擎
NDR檢測引擎:融合機器學習檢測加密挖礦
挖礦活動的最本質特點在于網絡連通,受害主機需要與礦池持續通信以確保挖礦活動的正常運行。華為乾坤云服務威脅信息庫涵蓋現網中數萬個活躍礦池域名和IP,華為流量探針識別stratum挖礦協議,可以確保礦池的外部連接在網關或終端側被阻斷。
針對經過TLS加密的挖礦行為,利用機器學習進行流量分析是一種有效的檢測方法。通過分析網絡流量數據,機器學習模型可以學習和識別與加密挖礦相關的特征和模式。這些特征包括通信報文大小和時序特征、特定的網絡通信模式以及與已知挖礦活動相關的數據包。通過訓練機器學習模型,我們可以建立一個智能的檢測系統,能夠自動識別和報告潛在的加密挖礦行為。結合EDR調查取證可以幫助企業和組織及時發現并應對加密挖礦威脅,保護其計算資源和網絡安全。
EDR行為檢測引擎:基于內存威脅溯源圖識別挖礦攻擊鏈
對于落入端側的挖礦木馬攻擊,華為終端檢測與響應EDR行為檢測引擎基于內存威脅溯源圖,在文件、進程、網絡、注冊表和CPU占有率等多個關鍵維度上實時監控系統資源,一旦發現威脅立即處置。同時,內存威脅溯源圖集成了自適應基線模型、時序關聯模型、因果關聯模型等,在入侵、執行、持久化和橫移等多個攻擊階段均能及時響應,達到鏈式防御的效果。
圖1-3示意了利用內存威脅溯源圖還原WebLogic漏洞投遞無文件挖礦木馬的攻擊鏈過程。
圖1-3 內存威脅溯源圖:利用WebLogic漏洞投遞無文件挖礦木馬的攻擊鏈還原
眾所周知,單純通過判斷CPU占有率高可能會導致挖礦木馬事件誤報或漏報的情況發生,因為計算密集型任務也會導致CPU占有率飆升。因此,在檢測挖礦木馬時,我們需要結合攻擊的上下文信息進行綜合分析,結合內存威脅溯源圖,將典型的挖礦木馬攻擊上下文進行關聯:
01
在挖礦啟動前,攻擊者經常做一些可疑的準備工作,例如探測CPU/GPU信息、修改安全設置、搶占系統資源、配置網絡策略并創建計劃任務達到長期劫持計算資源的目的等。
02
在挖礦啟動時,攻擊者往往需要指定挖礦參數,例如錢包地址、幣種、HASH算法等。
03
在挖礦執行時,華為終端檢測與響應EDR產品會提示CPU占用異常,結合其他可疑事件綜合研判為挖礦入侵。
結合內存威脅溯源圖,華為終端檢測與響應EDR產品可阻斷99%以上的挖礦啟動行為,同時可以看到完整的攻擊鏈,一個典型的挖礦木馬樣本威脅圖如圖1-4所示。
圖1-4 一個挖礦木馬樣本的攻擊鏈
高級威脅檢測引擎:識別文件屬性篡改、進程注入等防御逃逸行為
為了對抗挖礦檢測和處置,攻擊者會采用多種高級攻擊技術來保持木馬在系統中的存在。其中包括濫用系統敏感API來篡改文件屬性或進程屬性,以避免被刪除或隔離。另外,攻擊者還可能采用進程注入的方式來躲避檢測。為了應對這些威脅,華為終端檢測與響應EDR產品實現了在API級別監控系統的可疑行為,并直接阻斷惡意行為的執行,以防患于未然。通過這種方式,可以有效地提高系統的安全性,防止挖礦等惡意行為的發生。
挖礦木馬的一鍵深度處置
在檢測到挖礦威脅后,對于檢測的到的可疑點,華為終端檢測與響應EDR產品已支持5大類事件的精準處置,實現檢測到處置的有效閉環。
具體的處置對象及方法如下:
總之,通過自動化的處置過程可以幫助快速有效地清除挖礦木馬,減少對系統和網絡的影響。
結束語
為了應對挖礦木馬的威脅,基于人工智能的挖礦木馬檢測成為一種有效的解決方案,本文介紹了幾種不同類型的檢測引擎。NDR檢測引擎利用機器學習技術來檢測加密挖礦行為,可以幫助及時發現潛在的挖礦活動;EDR行為檢測引擎則基于內存威脅溯源圖來識別挖礦攻擊鏈,提供更加全面的檢測能力;高級威脅檢測引擎則專注于識別文件屬性篡改、進程注入等防御逃逸行為,以應對更加復雜的挖礦木馬攻擊。同時,自動化的處置過程可以幫助客戶快速有效地清除挖礦木馬。華為將持續跟蹤挖礦木馬的最新攻擊態勢,不斷提升檢測能力,為客戶構筑更強的防御屏障。
*請認真填寫需求信息,我們會在24小時內與您取得聯系。
