• :
  • “隐蜂”来袭:全球首例Bootkit级挖矿僵尸网络木马-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    [安全贴士] “隐蜂”来袭:全球首例Bootkit级挖矿僵尸网络木马

    [复制链接]

    该用户从未签到

    发表于 2018-5-30 21:05:27 只看该作者

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x
    ​    近两年,比特币、以太币、门罗币等数字货币正经历着全球热潮。挖矿类病毒木马的感染量也随着虚拟货币的价格攀升逐步上涨,黑产团伙的商业嗅觉和行动力令人惊叹,类似“CoinHive”这种网页挖矿变现平台层出不穷,数百万级的网站被黑产团伙利用web漏洞植入挖矿代码。

        从去年形势可以看到各类挖矿木马异常活跃,从利用“永恒之蓝”漏洞传播到服务器、数据库弱口令爆 破,从Struts2、Weblogic、Jboss等各大Web框架漏洞到IE/Flash 0day挂马传播,甚至包括被频繁曝光漏洞的路由器、摄像头等嵌入式设备都被黑产团伙盯上,各类挖矿木马可以说一直活跃在全球网络安全攻击事件的最前线。

        在挖矿暴利的引诱驱使下,之前部分用于传播垃圾邮件、敲诈者的老牌僵尸网络都开始纷纷转型加入挖矿大军。更有甚者,个别传统正牌软件厂商也都开始沉沦堕落,从我们去年挖掘曝光的“看看影音云控挖矿”、“电信天翼客户端挖矿后门”等安全事件中就可以略窥一二,不夸张地说,2017年堪称挖矿类木马病毒的爆发元年。

        近期,金山毒霸安全实验室监控到部分用户系统存在疑似挖矿木马活动的威胁线索。中招电脑会出现CPU占用率高、电脑温度升高并且风扇噪声增大等异常表现。经过金山毒霸安全研究员的逐层溯源分析,一个已经成型并走向活跃的Bootkit级挖矿僵尸网络被揭开神秘面纱,Bootkit与挖矿木马的融合也将碰撞出一些不一样的火花。

        从框架设计到代码细节处理上都非常完善,在隐蔽性、兼容稳定性、反分析对抗等各方面都达到了一个全新高度,病毒代码的复杂程度、专业程度也为近年所罕见。


    1.png

    “隐蜂”Bootkit木马的技术特点

        从样本模块的字符串信息中,金山毒霸安全研究院发现该Bootkit的内部项目代号为“Mellifera(蜜蜂)”,所以本次的Bootkit木马被命名为“隐蜂”。概括来说,“隐蜂”Bootkit木马的技术特点主要体现在:

    1、对抗分析检测,隐蔽性很强。一旦发现ARK工具、抓包软件或者安全软件,甚至是任务管理器,病毒都会立即结束挖矿活动,小心翼翼地躲藏起来

    2、架构设计灵活,复杂度专业度很高。最直观的感受,我们从“隐蜂”病毒中解压出来的各类内核模块、R3插件以及配置文件多达50+,病毒代码结构的复杂程度可见一斑。

    3、系统兼容稳定性很好。“隐蜂”在系统引导过程中的挂钩时机选择、挂钩点特征搜寻和代码细节处理上都非常完善,支持主流windows操作系统版本,同时兼容X86/X64架构。“隐蜂”Boot劫持代码中也可以看到一些Bootkit前辈的身影,堪称后辈中的集大成者。

        从金山毒霸安全实验室监控到的数据来看:本次的“隐蜂”Bootkit木马变种从3月初开始测试传播,得益于其强悍的隐蔽性和对抗分析能力,到至今的三个多月都不曾被外界发现曝光。病毒的项目版本号也从0.1迭代至目前的1.x,在经历了几轮网页挂马和流氓捆绑的传播小高峰后,该僵尸网络已经逐渐成形,预估目前全网的感染用户50w+。

         目前,金山毒霸已首家支持对“隐蜂”Bootkit挖矿木马的查杀防御。并在详细分析病毒行为后,第一时间推出了“隐蜂”Bootkit挖矿病毒专杀工具,以控制该病毒再次传播。金山毒霸安全专家建议广大网民:及时使用金山毒霸排查网络安全,以防黑客入侵或通过僵尸网络推送其他木马病毒。若一旦被黑客或不良目的人士利用,随时可能制造大范围的悲剧性后果。
    微信图片_20180530183601.png
    (金山毒霸首家拦截“隐蜂”Bootkit挖矿木马)

    微信图片_20180530172429.png

    (“隐蜂”Bootkit挖矿病毒专杀工具)


    QQ图片20170310085531_副本.jpg


    使用道具 举报 回复
    看到了。。支持毒霸。
    使用道具 举报 回复 支持 反对
    截图20180531092648.png 截图20180531092808.png 截图20180531093017.png
    使用道具 举报 回复 支持 反对
    我不知道我中没中这个病毒  但是我每次打开任务管理器的时候前一两秒的时候cpu在100%再过一秒就降到10-20%(在什么都没有运行的时候)我用这个软件查杀什么也没查到  在电脑使用中经常cpu100% 我从初中买的第一台电脑就用毒霸现在大一了换了一台电脑还是用的毒霸!@金山毒霸
    QQ图片20180531154210.png
    使用道具 举报 回复 支持 反对
    了解一下!
    使用道具 举报 回复
    支持毒霸。
    使用道具 举报 回复
    了解一下!
    使用道具 举报 回复
    特来看看,知道了。
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则