黑客犯法团伙"隐匿者"被扒皮，竟然是中国人

按照火绒终端威胁谍报体系所提供的防止拦截数据，我们可以进一步得出，上述的几个域名相干的进攻举动具有极强的同源性。如下图所示：

域名相干病毒举动同源性

如上图所示，与几个C&C处事器域名相干的进攻伎俩具有以下三个沟通点：

1. 上述六个域名都具有沟通的病毒举动，长途剧本运行和呼吁行剧本启动FTP。

2. 呼吁行剧本启动FTP呼吁行参数中，以时刻为序，前三组FTP用户名同为“mssql2”，后三组用户名同为“test”，且全部FTP所行使的暗码所有都是1433。

3. 长途执行剧本挪用的呼吁行参数，除域名 (下图标红部门)改变外，其他参数及参数位置完全沟通。如下图所示：

长途执行剧本参数

剧雷锋网相识，火绒的终端用户受到黑客进攻后，在用户终端检测到与C&C处事器举办通讯的进攻样本。通过说明，这些样本在错误字符串、撒播机制、 编程说话和编译器等细节也示意出了很强的同源性。

个中f4321y.com、mykings.pw和mys2016.info域名相干样本为同源样本，样本中字符串信息具有很高的相似性。如下图所示：

f4321y.com、mykings.pw和mys2016.info域名相干样本字符串数据比拟

早期版本的进攻回收了多种进攻模块。进攻相干数据如下图所示：

病毒数据

完备进攻模块列表如下图所示：

病毒进攻模块

按照扫描主机的开放端口，病毒会回收如上图所示的进攻方法举办进攻。如下图所示：

针对差异的端口提倡进攻

（编辑：厦门网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!