高峰時控制4000萬台電腦，黑產軍團顯露真容！

作為經典科幻影片之一，《變形金剛》廣受影迷們的喜愛。影片中，令人印象深刻的除了正義的汽車人小分隊，霸天虎軍團作為反派同樣是聲名遠揚。

以威震天為首領，霸天虎與汽車人的惡鬥場面組成了《變形金剛》系列的經典片段，並最終被人們銘記腦海。

你以為上述場景，僅存在於電影當中？不，其實在網路安全領域類似故事也在上演。

這次的大反派自2018年起，通過幽蟲、獨狼、雙槍、紫狐、貪狼等多個病毒木馬家族，利用盜版Ghost系統、激活破解工具、熱門遊戲外掛等渠道傳播，在用戶電腦上安裝Rootkit後門。

自誕生以來，這個超大的病毒團伙和國內眾多殺毒廠商鬥智斗勇，一個團伙被打退，很快就有新的團伙取而代之，其真面目則一直是個謎。

4月29日，騰訊安全發文稱終於揪出了這個年度最大的黑產界「霸天虎軍團」。

初識「霸天虎」

雷鋒網了解到，騰訊安全專家通過例行的智能分析系統查詢發現，雙槍、紫狐、幽蟲和獨狼系列木馬都被聚類到同一個自動家族T-F-8656。

從自動家族T-F-8656中篩選出部分關鍵節點，並使用3D模式進行可視化展示後，發現幽蟲、獨狼、雙槍、紫狐以及關聯到的盜號、惡意推裝木馬之間聯繫非常緊密，但又層次分明，這一布局就像有人專門設計的結構。

正如上述，該團伙通過木馬病毒安裝Rootkit後門，通過多種流行的黑色產業變現牟利。其「業務」包括，雲端控制下載更多木馬、強制安裝互聯網軟體、篡改鎖定用戶瀏覽器、刷量、挖礦等等。

據悉，該病毒團伙在2018年7-8月為活躍高峰，當時被感染的電腦在3000萬-4000萬台之間。之後，該病毒的傳播有所收斂，在2018年8-11月感染量下降到1000萬-2000萬之間。至今，被該病毒團伙控制的電腦仍在200-300萬台。

進一步調查顯示，該病毒團伙的受害者分布在全國各地，其中廣東、山東、江蘇受害最為嚴重。該病毒團伙受害者地域分布如下圖所示：

騰訊安全稱，通過多個維度分析幽蟲、獨狼、雙槍、紫狐、貪狼等病毒木馬的技術特點、病毒代碼的同源性分析、C2伺服器註冊、託管等線索綜合分析，最終判斷這5個影響惡劣的病毒團伙背後是由同一個黑客組織操控。

進一步對上圖中涉及的所有信息進行分析整理，可以發現，幽蟲和獨狼木馬通過盜版GHOST系統、系統激活工具、遊戲外掛等多種渠道進行傳播，負責在受害者系統中安裝Rootkit，並將自身進行持久化（通過安裝木馬長時間控制目標系統，業內俗稱「持久化」），然後再通過下載者木馬投遞雙槍、紫狐、盜號木馬等多種惡意程序，同時還在中毒電腦上推廣安裝多個軟體、彈出廣告或刷量。

可見，各個木馬家族之間分工明確，環環相扣，組成了一個完整的產業鏈。（如上圖）

病毒團伙的廬山真面目

既然確定了攻擊出自同一病毒團伙，那它的真面目又是什麼？其背後是否真的有一個完善的網路犯罪團伙在運作？我們且看下面的具體分析。

先從幽蟲木馬開始。

幽蟲木馬的攻擊手法通過偽裝的系統激活工具進行傳播，利用到的技術手段和最終的獲利方式都如出一轍，同時受害用戶中招之後，受害主機系統信息都被上傳至同一C2域名www.tj678.top。

獨狼驅動部分代碼

幽蟲驅動部分代碼

值得一提的是，騰訊安全發現獨狼和幽蟲木馬的驅動代碼相似度極高。對比獨狼和幽蟲木馬驅動的關鍵函數代碼流程圖，發現它們的整體流程基本一致； 其次，二者的pdb名稱和數字簽名也完全一致，可見它們重複盜用相同的數字簽名。

關鍵函數代碼流程

幽蟲木馬pdb名稱

獨狼pdb名稱

幽蟲木馬與其之前公布的獨狼屬於同一個木馬家族，並出自同一作者之手。那麼雙槍、紫狐、貪狼是否也與該作者存在更深層次的聯繫呢？

請看下錶：

由上表可見，這幾個木馬在傳播渠道、技術手段、惡意行為上相似而又不盡相同，無法簡單地判斷它們是否是同一作者所為。

接著，再挑選各個木馬家族的部分代表性樣本，並提取它們的簽名信息，如下表所示：

幽蟲木馬與雙槍木馬使用的大部分簽名是一樣的，貪狼則使用不一樣的簽名信息。從盜用的簽名上看，幽蟲木馬和雙槍木馬存在著很大的貓膩，而貪狼則貌似很「清白「。

2018年10月，有安全廠商披露，通過對比貪狼木馬和多個版本雙槍木馬的pdb，可以發現雙槍中進行流量劫持的模塊AppManage.dll與貪狼中實現相同功能的模塊。而AppManage.dll則出自同一木馬作者之手，並且頻繁出現」ppzos「和」ivipm「字眼。

雙槍、貪狼pdb對比

雙槍、貪狼pdb對比

而進一步進行關聯發現，ppzos.com和ivipm.com的多個子域名均為雙槍的C2，而且都在2018年8月~9月之間解析到了同一個ip地址103.35.72.205。此外，在差不多的時間節點，ppzos.com，ivipm.com等子域名又與貴陽市某雲世紀科技有限公司的多個站點解析到同一個ip地址121.42.43.112。

雙槍C2

雙槍C2

綜上，可以確定幽蟲、雙槍、紫狐和貪狼木馬其實出自同一團伙（作者）。為了方便回顧，將該團伙使用的各個木馬家族之間的關係使用韋恩圖整理如下：

該團伙的產業鏈整理如下圖所示：

Ok，到此為止「霸天虎軍團」總算是露出了廬山真面目——貴陽市某雲世紀科技有限公司。

據悉，其曾通過公司官網www.qhaiyun.com利用開心輸入法等產品傳播雙槍木馬，而該公司的產品點點輸入法安裝包的pdb名稱與雙槍、貪狼pdb名稱高度相似，工程項目的附目錄都在」E:CodeIvipmsource」和」E:Codeppzossource」之下。

通過天眼查查詢，雷鋒網發現該公司目前已經處於註銷狀態。騰訊安全稱，經調查發現該公司旗下的多個站點已變成博彩網站，這可能意味著病毒作者在獲得豐厚收益之後，暫時轉行避風，以逃避網安機構的查處。

如何防止被攻擊？

那麼，如何防止被該病毒團伙攻擊呢？在此，騰訊安全給到我們幾點建議：

1. 建議網民使用正規軟體，盡量不要下載運行各類外掛輔助工具，外掛和遊戲輔助工具是病毒木馬、違規軟體傳播的主要渠道之一。

2. 幾乎所有外掛網站都會誘導、欺騙遊戲玩家退出或關閉殺毒軟體後再運行外掛。一旦照辦，殺毒軟體有很高的概率被隱藏在外掛中的病毒木馬破壞，從而令電腦失去安全防護能力。

3. 激活工具、Ghost鏡像歷來都是Rootkit病毒傳播的重要渠道，「獨狼」Rootkit系列病毒具有隱蔽性強，反覆感染，難查殺的特點。建議用戶使用正版操作系統，如果殺毒軟體報告發現激活破解補丁帶毒，建議停止使用。

本文轉自：騰訊御見威脅威脅情報中心雷鋒網

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！