1. 首頁 > 生活百科 > 科技 > >

黑客|300塊一天 國內黑客售賣新型遠控工具

網絡安全黑客病毒惡意軟件瑞星

黑客|300塊一天 國內黑客售賣新型遠控工具

文章圖片

黑客|300塊一天 國內黑客售賣新型遠控工具

文章圖片


安全419了解到 , 近日 , 瑞星威脅情報平臺率先捕獲到一批攻擊流程異常復雜的.NET惡意程序 , 經瑞星安全研究院深入分析發現 , 這些惡意程序實則是一整套黑產工具 , 名為“FastDesktop” , 該工具可以通過衍生出的病毒及變種遠程控制用戶主機 , 并上傳用戶隱私信息 。 經溯源發現該病毒作者疑為國內黑客 , 通過售賣這套黑產工具牟取利益 , 定價為300塊/天 。

瑞星安全專家介紹 , 在通過對多個同類樣本進行分析后發現 , 這批惡意程序為后門病毒 , 其中的兩大版本均是通過DLL劫持進行攻擊的 , 攻擊者通過調用系統進程svchost.exe , 以服務形式加載一個正規迅雷的庫文件fdsvc.dll , 然后在該庫文件執行的時候再導入偽裝成迅雷的另一個惡意文件libexpat.dll , 同時由于在攻擊流程中負責執行攻擊功能的文件都是DLL庫 , 需要被加載進內存才可以執行 , 因此依靠“捕獲-響應”、基于特征或哈希的傳統反病毒技術很難檢測出這類惡意程序 。


“FastDesktop”中兩大版本的攻擊流程
病毒特點:
瑞星安全專家表示 , 近年來基于.NET開發的病毒日益增多 , 這源于其開源代碼多 , 開發速度快 , 開發成本低 , 因此有不少黑客都會采用.NET編寫惡意程序 。 而此次瑞星截獲的“FastDesktop” , 相較一般.NET惡意程序而言 , 攻擊流程更加復雜 , 且初始攻擊模塊的惡意行為度很低 , 結構簡單 , 因此隱匿性更強 , 不僅可以有效對抗查殺 , 還便于后期病毒版本的更新 。
溯源:
通過更進一步的分析 , 瑞星威脅情報中心查詢到病毒作者使用到的其中一個域名Whois信息 , 通過點擊發現這是一個購買遠程控制軟件的網站 。 在經過注冊并登陸后顯示賬戶已經過期 , 需要用戶進行續費 , 并且界面中包括售前/售后、賬戶充值及管理端下載等主要功能 , 且定價為300/天 。 由此可知 , “FastDesktop”制作者為國內黑客 , 制作這套工具 , 就是為了進行售賣 , 方便一些沒有開發能力的不法分子直接購買 , 對目標進行遠程控制類攻擊 。

“FastDesktop”制作者兜售遠控惡意軟件
值得一提的是 , 此次瑞星捕獲的\"FastDesktop\" system.dll , 在VirusTotal今年3月的首次檢測報告中 , 僅瑞星一家國內廠商將其判定為“惡意” 。 這源于瑞星近年來在人工智能引擎技術方面的不斷研究 , 以及對.NET惡意軟件檢測能力上的兩項重要創新:l 研發基于人工智能的.NET程序文件判定引擎 。 海量分析的基礎上總結抽象 , 設計一套適用于通用檢測和混淆檢測的向量化方案 , 將文件轉為1627維特征向量 。 特征點囊括潛在隱寫、動態加載、動態編譯、壓縮解壓縮、編碼解碼、加密解密、網絡下載等多方面的代碼意圖 。
l 改進特征碼檢測技術 。 通過反編譯將.NET程序轉為結構化文本代碼 , 稱之為“程序主干” 。 結合智能特征碼 , 綜合主干中函數調用流、數據引用流、特殊指令流來抽象惡意代碼特征 , 規避二進制特征碼易繞過的缺點 , 但該方案需人工干預 , 響應速度和日處理量受限人力 。
【黑客|300塊一天 國內黑客售賣新型遠控工具】因此 , 瑞星在.NET惡意軟件檢測能力獲得了較大的提升 , 在緩解人工分析處理壓力的同時 , 也很好地獲得了對未知.NET惡意軟件的“預判”的能力 。

    相關經驗推薦