TMT观察网_独特视角观察TMT行业

前言：

區塊鏈安全咨詢公司 曲速未來 表示："隱匿者"最早出現在2014年，此后一直從事入侵服務器或者個人主機的黑色產業，他們通過植入后門程序控制這些設備（肉雞），然后進行DDoS攻擊，也會將這些肉雞出租給其他黑產團伙，近期，則主要利用這些"肉雞"來"挖礦"——生產比特幣。

首先是經過對大量的病毒攻擊事件深入研究，挖掘出了一個作惡累累的黑客犯罪團伙，并將其命名為"隱匿者"，該團伙可能由中國人組成或參與（下面會說明）。這可以說是近年來互聯網上最活躍、發起攻擊次數最多、攻擊范圍最廣的黑客團伙，擁有非常強的技術能力，并完全以牟利為目的。

之后通過對"隱匿者"攻擊相關樣本字符串特征的整理，就發現"隱匿者"相關樣本中均出現了中文調試信息。如下圖所示：

圖1.f4321.com、mykings.pw和mys2016.info域名中具有地域特征的字符串信息

圖2.mykings.top和oo000oo.club域名中具有地域特征的字符串信息

根據上述信息，大概就可以推測"隱匿者"團伙可能由中國人組成或參與。

據2017年期間統計的10大最活躍黑客攻擊C&C服務器中，該團伙獨占了6個，其攻擊范圍和頻率遠高于其他黑客團伙。為了霸占用戶設備長期牟利，"隱匿者"會搶奪其他黑客團伙的"肉雞"，刪除其他黑客的后門賬戶、結束其后門進程、關閉可被能利用的攻擊端口等。

"隱匿者"擁有非常強的技術實力，而且還在不斷改進自己的攻擊工具，早在4月29日，他們就將剛泄露十余天的"永恒之藍"漏洞加入自己的黑客工具箱中，這比惡性病毒WannaCry5月12日首次爆發還早2周時間。

在2017年4月"ShadowBrokers"組織爆出"永恒之藍"漏洞之后，"隱匿者"隨即將該漏洞加入到了自己的滲透工具中。利用漏洞運行的動態庫會注冊WMI腳本，最終再由WMI腳本啟動后門程序，從而直接獲取到主機的控制權。這種攻擊模式不但省去了耗時的遍歷暴力破解流程，還大大提高了攻擊的成功率，使"隱匿者"所控制的主機數量在短時間內大幅提升。攻擊流程，如下圖所示：

圖3.利用漏洞攻擊流程

2017年以來，信息安全領域威脅事件頻發，"隱匿者"也在不斷地利用這些安全信息對自己的攻擊進行改進。"隱匿者"所使用的不同攻擊手段所占比重，隨時間不斷的進行演變。從如下圖所示：

圖4.不同域名相關惡意行為占比

以時間為序，我們可以看出"隱匿者"不斷更換域名的同時，也在不斷的改進其攻擊方式，而且其攻擊方式的更新會緊跟互聯網安全事件。

概述

區塊鏈安全咨詢公司 曲速未來 消息：就在近期，又有安全團隊發現了“匿名者”進行了新的技術升級，正在傳播病毒”Voluminer”。該病毒通過暴力破解的方式入侵電腦后，會利用用戶電腦挖取門羅幣，并且在電腦中留下后門，病毒團伙可通過遠程控制隨時修改惡意代碼，下載其他更具威脅性的病毒模塊。該病毒還會通過內核級對抗手段躲避安全軟件查殺。

跟之前的相比，“隱匿者”本次傳播的病毒樣本所使用的技術更深入底層，隱蔽性更強，也更不易被用戶察覺。使用內核級手段對自身病毒代碼在磁盤中進行自我保護，與安全軟件對抗，難以清除。并且加入遠程控制功能，可以隨時下載其他病毒模塊。 

病毒渠道

在近期有發現大范圍傳播的病毒家族Bootkit/Voluminer與該黑客組織可能存在直接關系。病毒運行后會篡改磁盤MBR代碼，在電腦重啟執行病毒MBR代碼后，會在系統內核空間運行惡意代碼，之后將惡意代碼注入winlogon或explorer進程（依據操作系統版本），最終惡意代碼會下載后門病毒到本地執行。后門病毒現階段會下載執行挖礦相關病毒模塊挖取門羅幣，但并不排除將來會推送其他病毒模塊的可能性。

“隱匿者”通常會通過暴力破解連接用戶計算機中的RPC服務、數據庫服務器等，通過這些方式入侵用戶電腦進而執行其他惡意代碼，在此所截獲到與本次樣本相關的攻擊行為，如下圖所示：

圖5.攻擊行為

而且本次截獲的部分病毒樣本語言信息為簡體中文，與“隱匿者”之前的報告中的相同。進而可以初步判斷，本次攻擊事件可能與“隱匿者”黑客組織存在直接關系。本次截獲樣本（SHA256：46527e651ae934d84355adb0a868c5edda4fd1178c5201b078dbf21612e6bc78）的語言信息，如下圖所示： 

圖6.隱匿者

分析

Bootkit/Voluminer

Bootkit/Voluminer病毒運行后會直接寫入病毒MBR代碼，原始的MBR數據被病毒備份在磁盤的第二個扇區中。其余病毒代碼起始位置為第三個扇區，其余病毒代碼（除MBR代碼外）共占用54個扇區，由于內核平臺版本不同（x86/x64），報告中分析內容以病毒在Windows 7（x64）系統中的感染情況為例。被感染后的MBR代碼數據，如下圖所示：

圖7.被感染后的MBR代碼數據

病毒MBR代碼，如下圖所示：

圖8.病毒MBR代碼

病毒MBR代碼運行后，會將第三個扇區后的惡意代碼拷貝到0x8f000地址進行執行，惡意代碼會在hook INT 15中斷后，重新調用原始MBR執行正常的引導啟動邏輯。當INT 15 中斷被調用時，病毒代碼會通過匹配硬編碼的方式搜索BootMgr（startup.com）代碼進行hook，被hook后執行的惡意代碼代碼會最終hook Bootmgr.exe 中的Archx86TransferTo32BitApplicationAsm和Archx86TransferTo64BitApplicationAsm。Hook INT15后執行的病毒邏輯，如下圖所示：

圖9.Hook INT 15執行的病毒邏輯

BootMgr（startup.com部分）被hook后，在BootMgr.exe 加載時會繼續執行下一步hook操作。Hook BootMgr.exe相關代碼，如下圖所示：

圖10.Hook BootMgr.exe相關代碼

BootMgr.exe被hook后，Archx86TransferTo32BitApplicationAsm和Archx86TransferTo64BitApplicationAsm函數內代碼情況，如下圖所示：

圖11.被hook后的函數入口

Archx86TransferTo32BitApplicationAsm和Archx86TransferTo64BitApplicationAsm函數被hook后，被調用的病毒代碼會在BootMgr.exe加載Winload.exe時hook OslArchTransferToKernel，為hook ntoskrnl.exe做準備。相關代碼，如下圖所示：

圖12.Hook OslArchTransferToKernel相關代碼

被hook后的OslArchTransferToKernel函數內代碼，如下圖所示：

圖13.被hook后的OslArchTransferToKernel函數代碼

OslArchTransferToKernel被hook后執行的惡意代碼會hook ZwCreateSection，并破壞ntoskrnl.exe中PatchGuard相關邏輯。相關代碼，如下圖所示：

圖14：Hook OslArchTransferToKernel函數后執行的惡意代碼入口

首先，惡意代碼會先通過函數名哈希值獲取ZwCreateSection函數地址，再獲取最終需要在內核態執行的惡意代碼入口（malware_krnl_main_entry），然后獲取hook ZwCreateSection后被調用的處理函數入口和相關信息（包括ntoskrnl基址、malware_krnl_main_entry函數入口、ZwCreateSection函數入口地址、被patch掉的原始ZwCreateSection代碼內容），最后修改ZwCreateSection函數入口代碼，并將ntoskrnl中PatchGuard相關代碼通過修改硬編碼禁用掉。相關代碼，如下圖所示：

圖15.Hook ZwCreateSection和破壞PatchGuard的惡意代碼

被hook后的ZwCreateSection函數入口代碼，如下圖所示：

圖16.被hook后的ZwCreateSection函數入口代碼

ZwCreateSection被hook后調用的惡意代碼，首先會修復ZwCreateSection被patch掉的代碼內容，之后再將后續需要執行惡意代碼（代碼地址：0x946E6）通過MmMapIoSpace映射到內核態地址空間進行執行。相關代碼，如下圖所示：

圖17.ZwCreateSection被hook后調用的惡意代碼

上述代碼被調用后，會執行內核態惡意代碼malware_krnl_main_entry，該函數內代碼首先會根據函數名哈希獲取所需的API地址。相關代碼，如下圖所示：

圖18.malware_krnl_main_entry代碼

內核態主要惡意代碼邏輯執行后，首先會創建線程通知回調，在回調中檢測csrss.exe進程是否啟動，在該進程啟動后再繼續執行后續惡意代碼邏輯。相關代碼，如下圖所示：

圖19.線程通知回調中惡意代碼邏輯

如上圖所示，在檢測到csrss.exe后，首先會嘗試感染MBR并將存放惡意代碼的扇區保護起來。通過過濾IRP的方式，在用戶訪問病毒引導代碼所在扇區時，返回正常引導代碼數據，提高病毒的隱蔽性。感染MBR相關代碼，如下圖所示：

圖20.感染MBR并將原始MBR數據拷貝到第二扇區

惡意MBR及相關數據保護邏輯會保護磁盤前0x3E個扇區。相關代碼，如下圖所示：

圖21.惡意MBR及相關數據保護相關代碼

之后在內核線程（malware_behav_entry）中會根據不同的操作系統版本對winlogon.exe或explorer.exe進行APC注入。WinXP注入explorer.exe，其他操作系統注入winlogon.exe，如果是Win10系統會再次嘗試hook Storport驅動對象的IRP回調。相關代碼，如下圖所示：

圖22.APC注入相關代碼

被注入的病毒代碼執行惡意邏輯主要參照從C&C服務器請求到的配置文件，該文件釋放到本地后路徑為：%SystemRoot%\Temp\ntuser.dat。該文件被異或0×95加密過，在使用該文件時會對文件進行解密。解密后的ntuser.dat配置內容，如下圖所示：

圖23.ntuser.dat配置內容

如上圖，配置文件總體分為兩個部分：main和update。main部分中的所有ip和網址用來下載后門病毒相關配置，update部分中的ip和網址用來更新ntuser.dat配置數據，請求到的相關配置信息至今依然在持續更新。下載后門病毒配置信息cloud.txt的代碼邏輯，如下圖所示：

圖24.下載后門病毒配置信息

請求到的配置信息中，除后門病毒下載地址（exe鍵名對應數據）外，還有名為url的配置項，該功能開啟后會hook CreateProcessW劫持瀏覽器啟動參數，但現階段該功能尚未被開啟。配置信息，如下圖所示：

圖25.配置信息

惡意代碼會通過上圖中的下載地址，將后門病毒下載到%SystemRoot%\Temp\conhost.exe目錄進行執行。下載執行遠程后門病毒相關邏輯，如下圖所示：

圖26.下載執行后門病毒Backdoor/Voluminer 

該病毒運行后，首先會釋放存放有C&C服務器列表的文件（xp.dat）至C:\Program Files\Common Files目錄中，之后向C&C服務器列表中的服務器地址請求xpxmr.dat文件，用于更新C&C服務器列表。請求到的xpxmr.dat文件數據使用RSA算法進行過加密，進行解密后會重新寫入到xpxmr.dat文件中，該文件為明文存放。相關代碼及數據，如下圖所示： 

圖27.更新C&C服務器列表

病毒在運行中會向C&C服務器請求獲取最新病毒版本號，當檢測到存在新版本時，則會通過C&C服務器下載執行最新版本的病毒程序。當后門病毒發現當前系統為64位系統時，還會向C&C服務器請求64位版本的后門病毒到本地進行執行。相關代碼，如下圖所示：

圖28.請求64位版本病毒

隨后，病毒會使用地址列表中的C&C服務器地址下載挖礦所需的病毒組件，暫時我們發現會被病毒下載至本地病毒僅具有挖礦功能，但并不排除其將來會下載其他病毒模塊的可能性。病毒在下載文件后，會對病毒組件進行md5校驗，病毒組件的md5值會參考C&C服務器中的md5.txt文件內容。相關代碼，如下圖所示：

圖29.獲取遠程惡意代碼模塊

在病毒組件下載完成后，病毒會將挖礦相關的模塊和配置文件釋放到%windir%\debug目錄中，隨后開始挖礦邏輯。病毒釋放挖礦配置相關代碼，如下圖所示：

圖30.釋放挖礦配置相關代碼

在現版本中，被下發到用戶本地的后門病毒隱蔽性已經有所提高，在病毒執行過程中用戶很難有所察覺。病毒挖取門羅幣時使用的配置信息片段，如下圖所示：

圖31.配置信息片段

通過上圖中的門羅幣錢包地址查詢，就會發現該賬戶自2017年6月12日起開始有門羅幣進賬信息，至今已經共獲取門羅幣約2867個，合人民幣約200余萬元。病毒使用的門羅幣錢包信息，如下圖所示：

圖32.門羅幣錢包信息

通過對比分析，就會發現與之前的樣本相比，雖然最終惡意行為完全相同，但新樣本在惡意邏輯中加入了云控功能，從而可以使樣本可以根據黑客在C&C服務器中提供的惡意代碼和相關配置信息對病毒進行調整。除此之外，現在的樣本和之前的相比較隱匿者樣本還加強了對樣本自身代碼的保護，在后門病毒及其派發模塊中大量使用了VMProtect保護殼，加大了安全分析人員的分析成本。如下圖所示：

總結：

區塊鏈安全咨詢公司 曲速未來 提醒：該攻擊手法多樣，且至今依然在不斷進行改進和增強，已經成為對互聯網環境威脅最大黑客組織之一。后面將繼續對該黑客組織進行追蹤，不斷收集和防御與該組織相關的所有安全威脅。 

本文內容由曲速未來安全咨詢公司獨家編譯，轉載請注明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發安全、智能合約開發安全等相關區塊鏈安全咨詢服務。