黑客犯法团伙"隐匿者"被扒皮，竟然是中国人

发布时间：2017-09-02 09:58:37 所属栏目：站长百科来源：雷锋网

导读：副问题#e# 赛博天下好像永久处于暗中。每一个进入的人都拿着照明器材探索提高，痛惜的是，能照出来的只有本身面前狭小的一道光源。而那些隐匿在黑漆黑的鬼手——黑客犯法团伙，总让人们防不胜防。而最近，一个以牟利为目标，活泼于互联网上，拥有超强技

副问题[/!--empirenews.page--]

赛博天下好像永久处于暗中。

每一个进入的人都拿着照明器材探索提高，痛惜的是，能照出来的只有本身面前狭小的一道光源。

而那些隐匿在黑漆黑的鬼手——黑客犯法团伙，总让人们防不胜防。

而最近，一个以牟利为目标，活泼于互联网上，拥有超强技能手段并多次动员大局限进攻的黑客团伙被发掘出来，并定名为“隐匿者”，更令人惊奇的是这个团伙也许由中国人构成或参加。

“隐匿者”最早呈此刻 2014 年，从此一向从事入侵处事器可能小我私人主机的玄色财富，他们通过植入后门措施节制这些装备（肉鸡），然后举办DDoS进攻，也会将这些肉鸡出租给其他黑产团伙。

最近，“隐匿者”首要操作这些“肉鸡”来“挖矿”——出产比特币。为了攻克用户装备恒久牟利，“隐匿者”会“黑吃黑”，以此抢掠其他黑客团伙的“肉鸡”，删除其他黑客的后门账户、竣事厥后门历程、封锁可被能操作的进攻端口等。

作为一个到处掠夺的作恶团伙，时时打磨手中利剑分外重要。早在 4 月 29 日，“隐匿者”就将刚泄漏十余天的“永恒之蓝”裂痕插手本身的黑客器材箱中，这比恶性病毒WannaCry5 月 12 日初次发作还早 2 周时刻。

以是这个作恶累累的黑客团伙是怎样被一点一点发掘出来的呢？宅客频道清算了相干数据线索。

一、数据线索

在火绒终端威胁说明体系中，我们找出与进攻相干的所有恶意C&C处事器域名。通过梳理近半年的活泼C&C处事器，我们罗列出了数据量最大 10 个的C&C处事器地点，如下图所示：

黑客犯法团伙

域名汇总

以时刻为轴，我们可以直观的看到依托于差异C&C处事器域名的进攻发作趋势，如下图所示：

黑客犯法团伙

触发防止点的域名发作趋势

通过上图可以看出，f4321y.com、mykings.pw、mys2016.info、mykings.top四个域名在进攻时刻和发作数目上泛起出了此消彼长、一连进攻的威胁态势，且发作数目有很强的连续性。凡是，黑客攻下的主机数目会不绝激增，且黑客为了进步其潜伏性会不绝地改换C&C处事器地点。以是我们起源揣摩，上述四个C&C处事器域名也许同属于一个黑客团伙。

依据上图的赤色上升曲线可以看出，该黑客团伙前期进攻所节制的主机数目增添趋势较为平缓。在 4 月 14 日“Shadow Brokers”组织泄暴露“永恒之蓝”裂痕之后，该黑客团伙也许将“永恒之蓝”裂痕插手到了渗出器材箱中。在此之后，依托其之前攻下的主机，使操作mykings.top域名的进攻数目在短时刻内快速发作到了一个较高程度。

但随后，WannaCry病毒在环球范畴内大范畴发作（即上图灰色虚线所示时刻点）。该黑客团伙所节制的主机受该病毒影响异常严峻，在大部门中毒处事器选择重置体系后，其所节制的主机数目有了明明镌汰。以是表此刻发作趋势上，与该黑客团伙相干的防止变乱在同样行使“永恒之蓝”裂痕举办撒播的WannaCry病毒风行后的很短一段时刻之内呈现了直线下滑，纵然该黑客团伙在厥后续的进攻中插手了相干的防止成果，也依然于事无补。最后，进攻变乱数目不变在了“永恒之蓝”裂痕发作之前以下（即上图棕色虚线所示位置以下），表白除操作裂痕入侵主机受到了直接影响以外，前期该团伙所攻下的部门主机也受到了直接影响。

颠末下文具体论证，除上述四个域名外， oo000oo.club和5b6b7b.ru这两个域名也同属于这一黑客团伙。这两个域名初次触发相干防止拦截点的时刻很是临近，且时刻点都在与C&C处事器域名相干防止拦截变乱数目锐减之后。以是我们展望，在该黑客团伙被WannaCry病毒重创之后，为了可以或许尽快挽回本身的“丧失”，开始同时行使多个域名和处事器，并举动其举办渗出进攻。

因为该黑客团伙恒久暗藏于互联网中，且其进攻对互联网所造成的威胁随时刻逐渐加强，以是我们将该黑客团伙定名为“隐匿者”。

在近半年中，有多篇其他安详厂商陈诉中都曾呈现过“隐匿者”的足迹。卡巴斯基尝试室在 2017 年 2 月宣布陈诉《New(ish) Mirai Spreader Poses New Risks》，提到了前文所述的f4321y.com和mykings.pw 域名。

针对Mirai病毒变乱，火绒所拦截到的终端防止变乱信息，如下图所示：

黑客犯法团伙