曲速未来 ：黑客组织“隐匿者”技术升级再次作恶暴力威胁入侵全网用户

前言：

区块链安全咨询公司 曲速未来 表示："隐匿者"最早出现在2014年，此后一直从事入侵服务器或者个人主机的黑色产业，他们通过植入后门程序控制这些设备（肉鸡），然后进行DDoS攻击，也会将这些肉鸡出租给其他黑产团伙，近期，则主要利用这些"肉鸡"来"挖矿"——生产比特币。

首先是经过对大量的病毒攻击事件深入研究，挖掘出了一个作恶累累的黑客犯罪团伙，并将其命名为"隐匿者"，该团伙可能由中国人组成或参与（下面会说明）。这可以说是近年来互联网上最活跃、发起攻击次数最多、攻击范围最广的黑客团伙，拥有非常强的技术能力，并完全以牟利为目的。

之后通过对"隐匿者"攻击相关样本字符串特征的整理，就发现"隐匿者"相关样本中均出现了中文调试信息。如下图所示：

图1.f4321.com、mykings.pw和mys2016.info域名中具有地域特征的字符串信息

图2.mykings.top和oo000oo.club域名中具有地域特征的字符串信息

根据上述信息，大概就可以推测"隐匿者"团伙可能由中国人组成或参与。

据2017年期间统计的10大最活跃黑客攻击C&C服务器中，该团伙独占了6个，其攻击范围和频率远高于其他黑客团伙。为了霸占用户设备长期牟利，"隐匿者"会抢夺其他黑客团伙的"肉鸡"，删除其他黑客的后门账户、结束其后门进程、关闭可被能利用的攻击端口等。

"隐匿者"拥有非常强的技术实力，而且还在不断改进自己的攻击工具，早在4月29日，他们就将刚泄露十余天的"永恒之蓝"漏洞加入自己的黑客 工具 箱中，这比恶性病毒WannaCry5月12日首次爆发还早2周时间。

在2017年4月"ShadowBrokers"组织爆出"永恒之蓝"漏洞之后，"隐匿者"随即将该漏洞加入到了自己的渗透工具中。利用漏洞运行的动态库会注册WMI脚本，最终再由WMI脚本启动后门程序，从而直接获取到主机的控制权。这种攻击模式不但省去了耗时的遍历暴力破解流程，还大大提高了攻击的成功率，使"隐匿者"所控制的主机数量在短时间内大幅提升。攻击流程，如下图所示：

图3.利用漏洞攻击流程

2017年以来，信息安全领域威胁事件频发，"隐匿者"也在不断地利用这些安全信息对自己的攻击进行改进。"隐匿者"所使用的不同攻击手段所占比重，随时间不断的进行演变。从如下图所示：

图4.不同域名相关恶意行为占比

以时间为序，我们可以看出"隐匿者"不断更换域名的同时，也在不断的改进其攻击方式，而且其攻击方式的更新会紧跟互联网安全事件。

概述

区块链安全咨询公司 曲速未来 消息：就在近期，又有安全团队发现了“匿名者”进行了新的技术升级，正在传播病毒”Voluminer”。该病毒通过暴力破解的方式入侵电脑后，会利用用户电脑挖取门罗币，并且在电脑中留下后门，病毒团伙可通过远程控制随时修改恶意代码，下载其他更具威胁性的病毒模块。该病毒还会通过内核级对抗手段躲避安全软件查杀。

跟之前的相比，“隐匿者”本次传播的病毒样本所使用的技术更深入底层，隐蔽性更强，也更不易被用户察觉。使用内核级手段对自身病毒代码在磁盘中进行自我保护，与安全软件对抗，难以清除。并且加入远程控制功能，可以随时下载其他病毒模块。 

病毒渠道

在近期有发现大范围传播的病毒家族Bootkit/Voluminer与该黑客组织可能存在直接关系。病毒运行后会篡改磁盘MBR代码，在电脑重启执行病毒MBR代码后，会在系统内核空间运行恶意代码，之后将恶意代码注入winlogon或explorer进程（依据操作系统版本），最终恶意代码会下载后门病毒到本地执行。后门病毒现阶段会下载执行挖矿相关病毒模块挖取门罗币，但并不排除将来会推送其他病毒模块的可能性。

“隐匿者”通常会通过暴力破解连接用户计算机中的RPC服务、数据库服务器等，通过这些方式入侵用户电脑进而执行其他恶意代码，在此所截获到与本次样本相关的攻击行为，如下图所示：

图5.攻击行为

而且本次截获的部分病毒样本语言信息为简体中文，与“隐匿者”之前的报告中的相同。进而可以初步判断，本次攻击事件可能与“隐匿者”黑客组织存在直接关系。本次截获样本（SHA256：46527e651ae934d84355adb0a868c5edda4fd1178c5201b078dbf21612e6bc78）的语言信息，如下图所示： 

图6.隐匿者

分析

Bootkit/Voluminer

Bootkit/Voluminer病毒运行后会直接写入病毒MBR代码，原始的MBR数据被病毒备份在磁盘的第二个扇区中。其余病毒代码起始位置为第三个扇区，其余病毒代码（除MBR代码外）共占用54个扇区，由于内核平台版本不同（x86/x64），报告中分析内容以病毒在Windows 7（x64）系统中的感染情况为例。被感染后的MBR代码数据，如下图所示：

图7.被感染后的MBR代码数据

病毒MBR代码，如下图所示：

图8.病毒MBR代码

病毒MBR代码运行后，会将第三个扇区后的恶意代码拷贝到0x8f000地址进行执行，恶意代码会在hook INT 15中断后，重新调用原始MBR执行正常的引导启动逻辑。当INT 15 中断被调用时，病毒代码会通过匹配硬编码的方式搜索BootMgr（startup.com）代码进行hook，被hook后执行的恶意代码代码会最终hook Bootmgr.exe 中的Archx86TransferTo32BitApplicationAsm和Archx86TransferTo64BitApplicationAsm。Hook INT15后执行的病毒逻辑，如下图所示：

图9.Hook INT 15执行的病毒逻辑

BootMgr（startup.com部分）被hook后，在BootMgr.exe 加载时会继续执行下一步hook操作。Hook BootMgr.exe相关代码，如下图所示：

图10.Hook BootMgr.exe相关代码

BootMgr.exe被hook后，Archx86TransferTo32BitApplicationAsm和Archx86TransferTo64BitApplicationAsm函数内代码情况，如下图所示：

图11.被hook后的函数入口

Archx86TransferTo32BitApplicationAsm和Archx86TransferTo64BitApplicationAsm函数被hook后，被调用的病毒代码会在BootMgr.exe加载Winload.exe时hook OslArchTransferToKernel，为hook ntoskrnl.exe做准备。相关代码，如下图所示：

图12.Hook OslArchTransferToKernel相关代码

被hook后的OslArchTransferToKernel函数内代码，如下图所示：

图13.被hook后的OslArchTransferToKernel函数代码

OslArchTransferToKernel被hook后执行的恶意代码会hook ZwCreateSection，并破坏ntoskrnl.exe中PatchGuard相关逻辑。相关代码，如下图所示：

图14：Hook OslArchTransferToKernel函数后执行的恶意代码入口

首先，恶意代码会先通过函数名哈希值获取ZwCreateSection函数地址，再获取最终需要在内核态执行的恶意代码入口（malware_krnl_main_entry），然后获取hook ZwCreateSection后被调用的处理函数入口和相关信息（包括ntoskrnl基址、malware_krnl_main_entry函数入口、ZwCreateSection函数入口地址、被patch掉的原始ZwCreateSection代码内容），最后修改ZwCreateSection函数入口代码，并将ntoskrnl中PatchGuard相关代码通过修改硬编码禁用掉。相关代码，如下图所示：

图15.Hook ZwCreateSection和破坏PatchGuard的恶意代码

被hook后的ZwCreateSection函数入口代码，如下图所示：

图16.被hook后的ZwCreateSection函数入口代码

ZwCreateSection被hook后调用的恶意代码，首先会修复ZwCreateSection被patch掉的代码内容，之后再将后续需要执行恶意代码（代码地址：0x946E6）通过MmMapIoSpace映射到内核态地址空间进行执行。相关代码，如下图所示：

图17.ZwCreateSection被hook后调用的恶意代码

上述代码被调用后，会执行内核态恶意代码malware_krnl_main_entry，该函数内代码首先会根据函数名哈希获取所需的API地址。相关代码，如下图所示：

图18.malware_krnl_main_entry代码

内核态主要恶意代码逻辑执行后，首先会创建线程通知回调，在回调中检测csrss.exe进程是否启动，在该进程启动后再继续执行后续恶意代码逻辑。相关代码，如下图所示：

图19.线程通知回调中恶意代码逻辑

如上图所示，在检测到csrss.exe后，首先会尝试感染MBR并将存放恶意代码的扇区保护起来。通过过滤IRP的方式，在用户访问病毒引导代码所在扇区时，返回正常引导代码数据，提高病毒的隐蔽性。感染MBR相关代码，如下图所示：

图20.感染MBR并将原始MBR数据拷贝到第二扇区

恶意MBR及相关数据保护逻辑会保护磁盘前0x3E个扇区。相关代码，如下图所示：

图21.恶意MBR及相关数据保护相关代码

之后在内核线程（malware_behav_entry）中会根据不同的操作系统版本对winlogon.exe或explorer.exe进行APC注入。WinXP注入explorer.exe，其他操作系统注入winlogon.exe，如果是Win10系统会再次尝试hook Storport驱动对象的IRP回调。相关代码，如下图所示：

图22.APC注入相关代码

被注入的病毒代码执行恶意逻辑主要参照从C&C服务器请求到的配置文件，该文件释放到本地后路径为：%SystemRoot%\Temp\ntuser.dat。该文件被异或0×95加密过，在使用该文件时会对文件进行解密。解密后的ntuser.dat配置内容，如下图所示：

图23.ntuser.dat配置内容

如上图，配置文件总体分为两个部分：main和update。main部分中的所有ip和网址用来下载后门病毒相关配置，update部分中的ip和网址用来更新ntuser.dat配置数据，请求到的相关配置信息至今依然在持续更新。下载后门病毒配置信息cloud.txt的代码逻辑，如下图所示：

图24.下载后门病毒配置信息

请求到的配置信息中，除后门病毒下载地址（exe键名对应数据）外，还有名为url的配置项，该功能开启后会hook CreateProcessW劫持浏览器启动参数，但现阶段该功能尚未被开启。配置信息，如下图所示：

图25.配置信息

恶意代码会通过上图中的下载地址，将后门病毒下载到%SystemRoot%\Temp\conhost.exe目录进行执行。下载执行远程后门病毒相关逻辑，如下图所示：

图26.下载执行后门病毒Backdoor/Voluminer 

该病毒运行后，首先会释放存放有C&C服务器列表的文件（xp.dat）至C:\Program Files\Common Files目录中，之后向C&C服务器列表中的服务器地址请求xpxmr.dat文件，用于更新C&C服务器列表。请求到的xpxmr.dat文件数据使用RSA算法进行过加密，进行解密后会重新写入到xpxmr.dat文件中，该文件为明文存放。相关代码及数据，如下图所示： 

图27.更新C&C服务器列表

病毒在运行中会向C&C服务器请求获取最新病毒版本号，当检测到存在新版本时，则会通过C&C服务器下载执行最新版本的病毒程序。当后门病毒发现当前系统为64位系统时，还会向C&C服务器请求64位版本的后门病毒到本地进行执行。相关代码，如下图所示：

图28.请求64位版本病毒

随后，病毒会使用地址列表中的C&C服务器地址下载挖矿所需的病毒组件，暂时我们发现会被病毒下载至本地病毒仅具有挖矿功能，但并不排除其将来会下载其他病毒模块的可能性。病毒在下载文件后，会对病毒组件进行md5校验，病毒组件的md5值会参考C&C服务器中的md5.txt文件内容。相关代码，如下图所示：

图29.获取远程恶意代码模块

在病毒组件下载完成后，病毒会将挖矿相关的模块和配置文件释放到%windir%\debug目录中，随后开始挖矿逻辑。病毒释放挖矿配置相关代码，如下图所示：

图30.释放挖矿配置相关代码

在现版本中，被下发到用户本地的后门病毒隐蔽性已经有所提高，在病毒执行过程中用户很难有所察觉。病毒挖取门罗币时使用的配置信息片段，如下图所示：

图31.配置信息片段

通过上图中的门罗币钱包地址查询，就会发现该账户自2017年6月12日起开始有门罗币进账信息，至今已经共获取门罗币约2867个，合人民币约200余万元。病毒使用的门罗币钱包信息，如下图所示：

图32.门罗币钱包信息

通过对比分析，就会发现与之前的样本相比，虽然最终恶意行为完全相同，但新样本在恶意逻辑中加入了云控功能，从而可以使样本可以根据黑客在C&C服务器中提供的恶意代码和相关配置信息对病毒进行调整。除此之外，现在的样本和之前的相比较隐匿者样本还加强了对样本自身代码的保护，在后门病毒及其派发模块中大量使用了VMProtect保护壳，加大了安全分析人员的分析成本。如下图所示：

总结：

区块链安全咨询公司 曲速未来 提醒：该攻击手法多样，且至今依然在不断进行改进和增强，已经成为对互联网环境威胁最大黑客组织之一。后面将继续对该黑客组织进行追踪，不断收集和防御与该组织相关的所有安全威胁。 

本文内容由曲速未来安全咨询公司独家编译，转载请注明。 曲速未来提供包括主链安全、交易所安全、交易所钱包安全、DAPP开发安全、智能合约开发安全等相关区块链安全咨询服务。