近期牛盾网络Newdun.com发现“贪狼”Rootkit僵尸家族在近2个月开始再次活跃。“贪狼”主要通过ghost系统等渠道感染用户计算机,通过多种方式隐藏自身、对抗杀软,病毒。早期变种可以追溯到2015年,起初主要用于主页劫持和流量暗刷,监控纪录显示“贪狼”基本上每年都会有一次较大的活跃更新,在17年初曾被安全友商命名为“狼人杀”并分析曝光,短暂潜伏以后在17年9月份又出现过小幅更新,今年6月份开始“贪狼”家族开始再度活跃,除了Http(s)劫持模块不断加强外,开始顺应黑产潮流加入“门罗币”挖矿功能模块,并且在6月4号开始通过更新渠道下发“Hydra”DDOS木马插件,“贪狼”僵尸网络的威胁度和攻击性正在不断加强。按照目前检测到的感染量估算,全国超过50万机器遭到感染。
“贪狼”模块众多,功能灵活复杂。不同模块分别实现浏览器劫持、ddos攻击、加密货币挖矿、刷量等功能。
各模块通过联网下载到本地执行,被RC4或AES加密;且都有统一的导出名称BsProcessStartup、BsDllStartup、BsCleanup、BsEnvironment。
牛盾网络Newdun.com在这里着重介绍一下R3层核心框架Platform.dll
该模块是驱动内置的模块,核心功能是加载挖矿模块和下载配置文件并更新其他模块。
1、加载内置的ConsoleApplication8.dll(挖矿模块);
2、挂钩NtQuerySystemInformation(针对taskmgr.exe,进程名过滤);
3、挂钩LdrLoadDll(针对360se.exe、360chrome.exe),过滤杀软的浏览器保护模块;
4、访问C&C服务器,内置多个备用服务器地址;上传机器信息并下载配置文件;
5、根据配置文件进一步下载其他模块并加载执行;
pdb路径:
L:\github\ConsoleApplication8\x64\Release\ConsoleApplication8.pdb
1、 ConsoleApplication8.dll内置一个zip文件,包含config.json、start.cmd、xmrig.exe;
2、 查询注册表 [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\KingsoftInternet Security]的值“UninstallString”,成功则直接返回,不进行挖矿;
3、 解压zip文件并加载挖矿模块进行挖矿;
此文章由专注DNS、云服务、网络安全等服务的牛盾网络整理和收集。
关注我们:请关注一下我们的微信公众号: NiudunX
温馨提示:文章内容系作者个人观点,不代表牛盾网络Newdun.com®对观点赞同或支持。
版权声明:本文为转载文章,来源于 牛小盾 ,版权归原作者所有,欢迎分享本文,转载请保留出处!