玩游戏被黑客盯上?电脑设备一不小心就成了“肉鸡”。僵尸网络潜伏在人们的日常生活中。表面上看似平静,实则暗流涌动。“双枪”木马是一种针对Windows系统的大型恶意木马。“双枪”木马自2017年7月开始活动以来,近三年来影响较小,但随着规模逐渐扩大,目前该木马活跃于各大社交网站和游戏论坛在中国。“双枪”木马主要通过网络共享诱骗应用程序进行传播,为社交网络和游戏论坛提供盗版游戏,利用MBR和VBR引导加载程序感染用户设备,安装各种恶意驱动程序,窃取本地应用程序中的凭据。“双枪”木马的恶意行为主要包括以下三种:向用户发送广告和垃圾邮件的恶意功能,劫持用户设备账号,并以此发送和传播广告;从合法的电子商务网站劫持流量,并将受感染的用户重定向到指定的网站,该网站目前已被删除;禁用互联网安全软件。“双枪”木马近年来多次进行大规模交互,屡遭暴露和攻击后仍能死灰复燃。由此可见其基础之“深”,规模之大。关闭部分僵尸网络后端基础设施,其中大部分使用百度贴吧图片托管服务,部分使用阿里云存储和托管配置文件。通过样品溯源可以看出IOC相关性分析。本次大规模感染主要是通过诱导用户安装含有恶意代码的网络游戏私服客户端。具体的感染方式大致可以分为两种。DLL劫持。launcher中包含的恶意代码感染分为三个阶段:用户下载并执行包含恶意代码的私服客户端,恶意代码访问配置信息服务器后,下载并加载最新版本的恶意程序程序cs.dll来自贴吧;CS。dll会进行一些简单的虚拟机和反软件对抗,使用百度统计服务上报僵尸网络信息,发布第三阶段VMP打包驱动;所有敏感配置信息都保存在驱动内部,DLL通过调用驱动获取配置服务器相关信息,根据下载的配置信息去百度贴吧下载其他恶意代码,进行下一阶段的恶意活动.DLL劫持感染方式依然是基于私服客户端。多个类似游戏私服客户端的组件photobase.dll被替换为同名恶意DLL文件。执行分为两个阶段:首先释放相应架构的恶意驱动程序。程序,然后注册系统服务并启动;加载真实的photobase.dll文件,将导出功能转发给真实的photobase.dll。过去三年,双枪一直在百度贴吧下载图片。这些图像包含密码(使用一种称为隐写术的技术隐藏在图像中),该密码为TwoGun僵尸网络提供感染主机执行的指令。最近两周,360联手百度对“双枪”木马进行追踪打击。它一直在删除“双枪”使用的图像并记录来自受感染主机的链接,因此发现僵尸网络规模庞大。目前,僵尸网络的规模估计为“数十万”,打击行动正在进行中。在此提醒读者,不要随意点击不熟悉的链接或下载不明应用,以免感染恶意木马,成为“肉鸡”。
