freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

“外挂幽灵”团伙曝光 系双枪、紫狐两大病毒家族的幕后推手
  • 关注
    “外挂幽灵”团伙曝光 系双枪、紫狐两大病毒家族的幕后推手
    2018-10-22 17:01:46
    所属地 广东省

    一、概述
    近期腾讯安全御见情报中心监控发现,“外挂幽灵“团伙持续活跃,该团伙主要通过七哥辅助网(www.52wzlt.cn)、我爱辅助网(www.50fzw.com)等多个游戏辅助工具(外挂)网站传播“双枪”、“紫狐”等木马,故名“外挂幽灵“。

    这些网站提供的多款游戏外挂工具中被捆绑多个恶意程序,主要包括锁主页程序、“双枪”病毒家族和”紫狐“木马家族等等,两个病毒家族影响了全国数以万计的电脑。

    1.png

    游戏外挂捆绑的恶意程序


    游戏玩家从这些游戏辅助网站下载并安装游戏外挂或辅助工具后,浏览器主页将会被锁定为www.2**5.com,同时电脑会被静默安装“开心输入法”等软件。

    腾讯安全御见情报中心的监控数据显示,“外挂幽灵“团伙已通过这种方法使数万台电脑感染“双枪”和“紫狐”木马。全国各个省份均有发现,其中山东、广东、河南的中毒电脑数量位居全国前三。

    2.0.png

    2.png

    “外挂幽灵“团伙传播感染态势分布

    通过腾讯安图高级威胁追溯系统,可以查询到“外挂幽灵“团伙的相关信息。

    3.png

    “外挂幽灵”团伙示意图


    二、详细分析
    将恶意程序和木马下载器捆绑在游戏外挂或游戏辅助中是“外挂幽灵“团伙传播“双枪”和“紫狐”等木马的惯用手段。

    游戏玩家从七哥辅助网、我爱辅助网等游戏辅助(外挂)网站下载有问题的游戏辅助工具并运行,便会中招。如下图所示,从七哥辅助网下载“终结者2冰魂天使辅助.exe“,并使用自动化工具提取捆绑在“终结者2冰魂天使辅助.exe“中的PE文件。

    4.png

    该游戏辅助工具中内置的12个PE文件,主要包括“紫狐“下载器、开心输入法、锁主页程序和游戏辅助程序等。

    5.png

    运行类似的游戏辅助工具,玩家的电脑变会进行开心输入法静默安装,锁主页,下载“双枪“和”紫狐木马等危险操作。 

    6.png

     ”外挂幽灵“团伙传播流程

    下面分别对“紫狐“和”双枪“木马的具体传播过程进行分析。对具体的代码分析感兴趣的小伙伴可以阅读以下两篇参考资料:《“双枪”木马专攻游戏外挂玩家,锁定主页强推开心输入法,让你完全开心不起来》、《“紫狐木马”暴力来袭,不幸被查杀》

    “紫狐”木马在传播过程中,使用过的历史域名如下图所示。从图中可以看到,“紫狐”木马从2018年3月份开始活跃,在传播的过程中,使用到了多个恶意域名,并且大部分域名最终都关联到了216.250.99.5。目前,除了dl.kanshimei.cn之外,其他的域名和ip仍在传播“紫狐”木马。

    7.png

    “紫狐”木马传播分析

    相比于“紫狐”木马,“双枪”木马的传播域名相对比较固定,我们监控到,通过开心输入法传播的“双枪”木马变种主要通过pcdn.qhaiyun.com、tlg.ppzos.com以及百度贴吧图片进行传播。其中通过百度贴吧传播的“双枪“木马被隐藏在不同的图片当中,但打开显示的却都是同一个美女。

    8.png

     “双枪”木马传播分析

    三、溯源及关联分析
    通过御见威胁情报中心查询发现,我爱辅助网(www.50yxw.com)的多个url在传播“紫狐”木马,这些链接现在依然有效。

    9.png

    我爱辅助网传播“紫狐“木马

    还有多个其他的游戏辅助网站与我爱辅助网(www.50yxw.com)解析到同一个ip地址,并且互相添加为友情链接。

    10.png

    183.131.85.18关联到的游戏辅助网站

    11.png

    友情链接

    通过整理发现,www.50yxz.com等多个游戏辅助站点通过同一种方式传播“紫狐”木马。

    12.png

    多个游戏辅助网站传播”紫狐“木马


    通过御见威胁情报中心查询发现,七哥辅助网(www.52wzlt.cn)同样也在传播“紫狐”木马。

    13.png

    七哥辅助网传播”紫狐“木马

    进入七哥辅助网,在网站页面上找到了七哥游戏交流群,申请加入交流群。

    14.png

    七哥游戏交流群

    在交流群的群共享文件中发现群主“七哥辅助网”共享的多个游戏辅助程序,其中“七哥荒野设备解封器.rar “解压后运行.exe程序会释放并执行”紫狐“木马下载器。

    15.png

    七哥荒野设备解封器.rar传播“紫狐“木马

       
    综上所述:

    “外挂幽灵“团伙已经通过多个游戏辅助网站进行”双枪”和“紫狐”木马的传播,而七哥辅助网(www.52wzlt.cn)和我爱辅助网(www.50fzw.com)更是长期通过不同方式间接或直接地传播”双枪”和“紫狐”木马,由此可见它们与“外挂幽灵”团伙之间的联系非常密切。

    四、解决方案&安全建议
    1.建议网民使用正规软件,尽量不要下载运行各类外挂辅助工具,外挂和游戏辅助工具是病毒木马、违规软件传播的主要渠道之一。

    2.几乎所有外挂网站都会诱导、欺骗游戏玩家退出或关闭杀毒软件后再运行外挂。一旦照办,杀毒软件有很高的概率被隐藏在外挂中的病毒木马破坏,从而令电脑失去安全防护能力。

    建议玩家不要关闭杀毒软件,当杀毒软件报警时,不要运行外挂程序。

    16.png

    附录:IOC
    “外挂幽灵“团伙的部分IOC信息如下:
    IP、Domain

    pcdn.qhaiyun.com
    tlg.ppzos.com
    dl.kanshimei.cn
    dl.s76ynnrb.club
    up.j5674t.club
    update.wpltbbrp.com
    dl.enhknqql.club
    dl.enhknqql.live
    www.50fzw.com
    www.52wzlt.cn
    tj.enhknqql.club
    tj.enhknqql.live
    122.112.213.121    
    183.131.85.18    
    216.250.99.5

    MD5

    f1092fe05f8b2dd665fe8db4ffe2af65
    e3416f54120a35ebb74e529c8fc51261
    a577b5b0f3ea744e382c9b3eb1fd272e
    14cb5bdf0bd7e83f059c898d60bf1ce2
    04e3263b51d3ae62b6a0b867607d960c
    540ccf8d34c62c05f8888b6d99342307
    71defaebe562522f8fc69fb4d95292ed
    e3ef55d9840812d3163fb7f2bd914b9d
    78d41ff236a815bcac9730a79827fd30
    c38d4658a2c6bc251e3e737b325959e4
    176320ea5af84bf3f153352d3536c5ac
    57a9e0e472349a5ac68127de67444380
    8fb7eff2c622dedf587f21a6bebd9883
    f740c6fc86d5908ec94536b7669f8768
    f47fe1165be9d350dc5f85715c8ae1c9
    f801b1b89fba8382e71150d9e8d66b4f
    f61e3ebbadd9d8edb86e3bd0193d69b1
    1ca203cf73ad32b8012bcd588a411f55
    f1d5efbebafdbaab91bfa0aa54feb793
    f2b71ff900821738a420f68cfe398300
    f4dd75b7e93dc3dd312577f4f946cf72
    faa8753b9a5d79f4d4a601c90bf0b2bd
    8351e1f4b6faeff43019cc1baee9d571
    e7ab55b5ba045383be8b30d85a959724
    a98a4112fd56e57e1d260bbc5e9c7d1b
    fe4345e471656a678d631f6e35a6035b
    b4fb4c9dbdc7fd1b8ab68cf6a92a1867
    db13882ae620ab0baf81221a7949aa91
    d1b8ee15c86d2b6d49bdcd4e06e0fb0e
    cb025abd3c40a2ba41bdd23071a292b6
    56be8d93fcb96f612f604ea67a073b63
    79a5867b2217a8a856302f71a4537d1f
    7dfed9fc9c083a1df09674be849c4b44
    9d089147d4d4adef45053c3736321d01


    URL

    hxxp://pcdn.qhaiyun.com/dianpinyin/DDpxSetup19525_10052.exe

    hxxp://pcdn.qhaiyun.com/dianpinyin/DDpxSetup19525_10056.exe

    hxxp://pcdn.qhaiyun.com/update1100/yotect32.dll

    hxxp://pcdn.qhaiyun.com/update1068/yotect32.dll

    hxxp://pcdn.qhaiyun.com/update1092/yotect32.dll

    hxxp://pcdn.qhaiyun.com/update1301/yotect64.dll

    hxxp://pcdn.qhaiyun.com/update1099/yotect32.dll

    hxxp://dl.s76ynnrb.club/d/sjhitgnd_006.exe

    hxxp://dl.s76ynnrb.club/m/sjhitgnd_009.jpg

    hxxp://up.j5674t.club/d/sjhitgnd_015.exe

    hxxp://up.j5674t.club/m/wpltbbrp_018up.jpg

    hxxp://up.j5674t.club/d/sjhitgnd_002.exe

    hxxp://up.j5674t.club/m/sjhitgnd_002up.jpg

    hxxp://update.wpltbbrp.com/update/wpltbbrp_016.exe

    hxxp://update.wpltbbrp.com/m/wpltbbrp_006up.jpg

    hxxp://dl.enhknqql.club/m/sjhitgnd_015tj.php

    hxxp://dl.enhknqql.club/m/sjhitgnd_013up.jpg

    hxxp://www.50fzw.com/gg/qt/wpltbbrp_006.exe

    hxxp://www.50fzw.com/wpltbbrp_006.exe

    hxxp://www.52wzlt.cn/zxrj/sjhitgnd_007.exe

    参考链接
    “双枪”木马专攻游戏外挂玩家,锁定主页强推开心输入法,让你完全开心不起来
    Ghost系统被植入“双枪2”病毒,病毒抢先攻占系统,杀毒软件变残废

    友商发布的技术报告:

    《“紫狐木马”暴力来袭,不幸被查杀》,链接:http://www.360.cn/n/10386.html

    # 腾讯电脑管家 # 双枪 # 外挂幽灵 # 紫狐
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者