黑客犯罪团伙"隐匿者"被扒皮，竟然是中国人

之后，Payload动态库会注册WMI剧本执行从远端处事器获取到的名为item.dat的后门措施，并执行存放在远端C&C处事器的JScript剧本。病毒注册的WMI剧本，如下图所示：

裂痕Payload注册的WMI剧本

kill.html中存放是的必要竣事的历程列表，该列表在其进攻进程中不绝的举办更新。如下图所示：

kill.html中存放的历程列表（内容获取时刻较早）

test.html中存放的是可执行文件的下载地点，这些文件会被WMI剧本下载到当地举办执行，且该网页中内容可以按照进攻者需求及时举办更新。如下图所示：

test.html存放的可执行文件列表

三、 “隐匿者”的溯源

通过对“隐匿者”进攻相干样本字符串特性的清算，我们发明“隐匿者”相干样本中均呈现了中文调试信息。如下图所示：

f4321.com、mykings.pw和mys2016.info域名中具有区域特性的字符串信息

mykings.top和oo000oo.club域名中具有区域特性的字符串信息

按照上述信息，我们展望 “隐匿者”团伙也许由中国人构成或参加。

颠末筛查与上述进攻具有同源性的样本，我们找到了更早期的相干样本，其编译时刻为 2014 年 7 月。如下图所示：

早期文件信息

样本数据如下图所示：

样本数据

如上图，我们在样本数据中找到相干C&C处事器域名，其域名定名方法与前文所述域名相似，且进攻相干模块数据沟通。通过域名查询，我们获取到了更多C&C处事器域名信息。如下图所示：

buysking.com域名信息

我们可以通过C&C处事器域名信息揣度，相干进攻最早也许早于 2015 年 4 月。但直到 2017 年，“隐匿者”的相干进攻才被其他安详厂商报道。 

（编辑：厦门网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!