国内“双枪”僵尸网络利用百度贴吧图像进行分发

玩个游戏也能被黑客盯上？电脑设备一不小心就沦为“肉鸡”。僵尸网络潜藏在人们的日常生活中，表面看似波澜不惊，实则暗潮涌动。

三年内感染规模超10万

“双枪”木马是针对windows系统的大规模恶意木马。自2017年7月开始活动，在过去三年中，“双枪”木马影响范围较小，但是随着规模的逐步扩大，如今，该木马病毒已经已经活跃于国内各大社交网站和游戏论坛。

“双枪”木马主要是通过网络共享诱饵应用程序进行分发，为社交网络和游戏论坛提供盗版游戏，使用MBR和VBR引导程序感染用户设备，安装各种恶意驱动程序，并在本地应用程序窃取凭据。

“双枪”木马的恶意行为主要包含以下三种：

• 向用户发送广告和垃圾邮件的恶意功能，在用户设备劫持账号，并以此发送和传播广告;
• 从合法的电商网站劫持流量，并将感染用户定向引导到指定网站，目前该功能已删除;
• 禁用网络安全软件。

“双枪”木马近年来屡次开展大规模互动，屡屡被曝光和打击后仍可死灰复燃，由此可见其根基“深厚”，规模庞大。

关闭部分僵尸网络后端基础架构，其中大部分都在使用百度的贴吧图像托管服务，部分使用了阿里云存储托管配置文件。

IOC关联分析

通过样本溯源可以看到，这次大规模感染主要是通过诱导用户安装包含恶意代码的网游私服客户端，具体感染方式大体分为两种，一是启动器内含恶意代码，二是DLL劫持。

启动器内包含恶意代码方式可分为三个感染阶段：

• 用户下载含恶意代码的私服客户端并执行，恶意代码访问配置信息服务器后，从贴吧下载并加载cs.dll最新版恶意程序;
• cs.dll 会进行一些简单的虚拟机和杀软对抗，利用百度统计服务上报 僵尸网络信息，释放第3阶段VMP加壳的驱动程序;
• 所有敏感的配置信息都保存在驱动内部，DLL通过调用驱动来获得配置服务器相关信息，根据下载的配置信息去百度贴吧下载其它恶意代码，进行下一阶段的恶意活动。

DLL劫持感染方式依然是以私服客户端为载体，多款类似游戏的私服客户端的组件photobase.dll 被替换成同名的恶意DLL文件，执行可分为两个阶段：

• 首先会释放相应架构的恶意驱动程序，然后注册系统服务并启动;
• 加载真正的 photobase.dll 文件，并将导出函数转发到真正的 photobase.dll。

过去三年来，“双枪”一直在从百度贴吧下载图像。这些图像包含秘密代码(使用一种称为隐写术的技术隐藏在图像内部)，该代码为“双枪”僵尸网络提供了感染主机执行操作的指令。

在过去的两个星期中，360联手百度追踪打击“双枪”木马，一直在删除“双枪”使用的图像，并记录来自受感染主机的链接，因此发现僵尸网络规模巨大。目前，僵尸网络规模估计为“数十万” ，打击活动在持续进行中。

在此提醒广大读者，不要随意点击陌生链接或者下载未知的应用程序，避免感染恶意木马，沦为“肉鸡”。

加入NISP、CISP课程学习网络安全行业

报考联系人nisp证书管理中心丹丹老师

微信号：nisptest/13520967307