高峰时控制4000万台电脑，黑产军团显露真容！

作为经典科幻影片之一，《变形金刚》广受影迷们的喜爱。影片中，令人印象深刻的除了正义的汽车人小分队，霸天虎军团作为反派同样是声名远扬。

以威震天为首领，霸天虎与汽车人的恶斗场面组成了《变形金刚》系列的经典片段，并最终被人们铭记脑海。

你以为上述场景，仅存在于电影当中？不，其实在网络安全领域类似故事也在上演。

这次的大反派自2018年起，通过幽虫、独狼、双枪、紫狐、贪狼等多个病毒木马家族，利用盗版Ghost系统、激活破解 工具 、热门游戏外挂等渠道传播，在用户电脑上安装Rootkit后门。

自诞生以来，这个超大的病毒团伙和国内众多杀毒厂商斗智斗勇，一个团伙被打退，很快就有新的团伙取而代之，其真面目则一直是个谜。

4月29日，腾讯安全发文称终于揪出了这个年度最大的黑产界“霸天虎军团”。

初识“霸天虎”

雷锋网了解到，腾讯安全专家通过例行的智能分析系统查询发现，双枪、紫狐、幽虫和独狼系列木马都被聚类到同一个自动家族T-F-8656。

从自动家族T-F-8656中筛选出部分关键节点，并使用3D模式进行可视化展示后，发现幽虫、独狼、双枪、紫狐以及关联到的盗号、恶意推装木马之间联系非常紧密，但又层次分明，这一布局就像有人专门设计的结构。

正如上述，该团伙通过木马病毒安装Rootkit后门，通过多种流行的黑色产业变现牟利。其“业务”包括，云端控制下载更多木马、强制安装互联网软件、篡改锁定用户浏览器、刷量、挖矿等等。

据悉，该病毒团伙在2018年7-8月为活跃高峰，当时被感染的电脑在3000万-4000万台之间。之后，该病毒的传播有所收敛，在2018年8-11月感染量下降到1000万-2000万之间。至今，被该病毒团伙控制的电脑仍在200-300万台。

进一步调查显示，该病毒团伙的受害者分布在全国各地，其中广东、山东、江苏受害最为严重。该病毒团伙受害者地域分布如下图所示：

腾讯安全称，通过多个维度分析幽虫、独狼、双枪、紫狐、贪狼等病毒木马的技术特点、病毒代码的同源性分析、C2服务器注册、托管等线索综合分析，最终判断这5个影响恶劣的病毒团伙背后是由同一个黑客组织操控。

进一步对上图中涉及的所有信息进行分析整理，可以发现，幽虫和独狼木马通过盗版GHOST系统、系统激活工具、游戏外挂等多种渠道进行传播，负责在受害者系统中安装Rootkit，并将自身进行持久化（通过安装木马长时间控制目标系统，业内俗称“持久化”），然后再通过下载者木马投递双枪、紫狐、盗号木马等多种恶意程序，同时还在中毒电脑上推广安装多个软件、弹出广告或刷量。

可见，各个木马家族之间分工明确，环环相扣，组成了一个完整的产业链。（如上图）

病毒团伙的庐山真面目

既然确定了攻击出自同一病毒团伙，那它的真面目又是什么？其背后是否真的有一个完善的网络犯罪团伙在运作？我们且看下面的具体分析。

先从幽虫木马开始。

幽虫木马的攻击手法通过伪装的系统激活工具进行传播，利用到的技术手段和最终的获利方式都如出一辙，同时受害用户中招之后，受害主机系统信息都被上传至同一C2域名www.tj678.top。

独狼驱动部分代码

幽虫驱动部分代码

值得一提的是，腾讯安全发现独狼和幽虫木马的驱动代码相似度极高。对比独狼和幽虫木马驱动的关键函数代码流程图，发现它们的整体流程基本一致； 其次，二者的pdb名称和数字签名也完全一致，可见它们重复盗用相同的数字签名。

关键函数代码流程

幽虫木马pdb名称

独狼pdb名称

幽虫木马与其之前公布的独狼属于同一个木马家族，并出自同一作者之手。那么双枪、紫狐、贪狼是否也与该作者存在更深层次的联系呢？

请看下表：

由上表可见，这几个木马在传播渠道、技术手段、恶意行为上相似而又不尽相同，无法简单地判断它们是否是同一作者所为。

接着，再挑选各个木马家族的部分代表性样本，并提取它们的签名信息，如下表所示：

幽虫木马与双枪木马使用的大部分签名是一样的，贪狼则使用不一样的签名信息。从盗用的签名上看，幽虫木马和双枪木马存在着很大的猫腻，而贪狼则貌似很“清白“。

2018年10月，有安全厂商披露，通过对比贪狼木马和多个版本双枪木马的pdb，可以发现双枪中进行流量劫持的模块AppManage.dll与贪狼中实现相同功能的模块。而AppManage.dll则出自同一木马作者之手，并且频繁出现”ppzos“和”ivipm“字眼。

双枪、贪狼pdb对比

双枪、贪狼pdb对比

而进一步进行关联发现，ppzos.com和ivipm.com的多个子域名均为双枪的C2，而且都在2018年8月~9月之间解析到了同一个ip地址103.35.72.205。此外，在差不多的时间节点，ppzos.com，ivipm.com等子域名又与贵阳市某云世纪科技有限公司的多个站点解析到同一个ip地址121.42.43.112。

双枪C2

双枪C2

综上，可以确定幽虫、双枪、紫狐和贪狼木马其实出自同一团伙（作者）。为了方便回顾，将该团伙使用的各个木马家族之间的关系使用韦恩图整理如下：

该团伙的产业链整理如下图所示：

Ok，到此为止“霸天虎军团”总算是露出了庐山真面目——贵阳市某云世纪科技有限公司。

据悉，其曾通过公司官网www.qhaiyun.com利用开心输入法等产品传播双枪木马，而该公司的产品点点输入法安装包的pdb名称与双枪、贪狼pdb名称高度相似，工程项目的附目录都在”E:\Code\Ivipm\source”和”E:\Code\ppzos\source”之下。

通过天眼查查询，雷锋网 (公众号：雷锋网) 发现该公司目前已经处于注销状态。腾讯安全称，经调查发现该公司旗下的多个站点已变成博彩网站，这可能意味着病毒作者在获得丰厚收益之后，暂时转行避风，以逃避网安机构的查处。

如何防止被攻击？

那么，如何防止被该病毒团伙攻击呢？在此，腾讯安全给到我们几点建议：

1. 建议网民使用正规软件，尽量不要下载运行各类外挂辅助工具，外挂和游戏辅助工具是病毒木马、违规软件传播的主要渠道之一。
2. 几乎所有外挂网站都会诱导、欺骗游戏玩家退出或关闭杀毒软件后再运行外挂。一旦照办，杀毒软件有很高的概率被隐藏在外挂中的病毒木马破坏，从而令电脑失去安全防护能力。
3. 激活工具、Ghost镜像历来都是Rootkit病毒传播的重要渠道，“独狼”Rootkit系列病毒具有隐蔽性强，反复感染，难查杀的特点。建议用户使用正版操作系统，如果杀毒软件报告发现激活破解补丁带毒，建议停止使用。

本文转自： 腾讯御见威胁威胁情报中心 雷锋网

雷锋网版权文章，未经授权禁止转载。详情见 转载须知 。