供应链污染加感染型病毒,老豹黑客组织的豹子胆究竟有多大

供应链污染加感染型病毒,老豹黑客组织的豹子胆究竟有多大

近期，360白泽实验室发现了一款新型的感染型病毒Virus.Win32.Peviru.A，该病毒除了具有感染可执行文件的行为之外，还会感染易语言编译坏境，导致用户编译的所有程序都携带该病毒，这使得Peviru比常见的感染型病毒传播速度更快。

而随着分析的深入，我们发现Peviru背后的黑客组织（后续称之为“老豹”，取自其C2服务器中多次出现的“oldpanther”一词）野心远不止于此，他们还会在各大易语言论坛发布带毒的易语言安装包和易语言模块，通过供应链感染的方式进行传播。易语言是国内非常流行的编程语言，拥有庞大的用户群体，而供应链感染加感染型的双重传播模式会让该病毒在整个网络中以爆发式的速度迅速增长，对整个网络坏境造成的影响将不可估量。而该病毒传播的最终目的是下载并部署多种功能强大的后门病毒，包含大灰狼远控和LimeRAT。

污染供应链
我们检测到“老豹”黑客组织会将带毒的易语言安装程序和其他易语言模块发布到天野学院，挂宝网等易语言论坛进行传播，污染易语言的供应链。易语言在国内拥有庞大的用户群体，其中有很多用户喜欢使用论坛版本的易语言安装程序，这也给了病毒可乘之机，颇有当年XcodeGhost事件的味道。下图是发布在天野学院的三款带毒程序：

Peviru
Peviru是“老豹”黑客组织开发的一种新型感染型病毒，该病毒除了感染正常的PE文件之外，还会感染易语言静态编译坏境，导致用户编译的所有程序都被感染，该病毒接收五个不同的参数，执行不同的感染逻辑：

感染可执行文件
Peviru会将恶意代码写入可执行程序.reloc节，并将该节的属性修改为可执行，修改程序的入口点，使其跳转后执行病毒代码，执行结束后再次跳转到程序的原始入口点执行正常的逻辑，感染Peviru病毒的程序结构及执行流程如下图所示：

感染易语言静态编译坏境
当参数为-link时，病毒会判断当前系统是否安装易语言编程环境，如果安装了，则会篡改易语言静态编译的配置文件，从而劫持静态编译流程，在静态编译结束时调用obj.exe（参数为-in）感染编译的新文件：

相关的感染逻辑如下：

下载部署后门程序
当参数为ins时，会下载大灰狼远控和LimeRAT，这两款远程控制软件都拥有非常强大的功能，能协助攻击者更全面的控制受害者机器，部署远控的相关代码如下：

最新版的LimeRAT已经提供了以下多种强大的后门功能：

与LimeRAT相比，大灰狼远控在国内更加流行，该远控的源代码也早已在国内外各大论坛流传，黑客为了躲避杀软查杀，使用了下图中的多组白利用组合，经过多层内存解密的方式加载大灰狼远控。

追踪“老豹”
在某些论坛上，我们发现一些中毒的帖子，里面提到有实验室的服务器被人攻击，而其中使用了与Peviru相同的C2：

在我们对该C&C服务器进行分析时，发现了该服务器的配置文件，上面记录了其背后黑客团伙使用的各种黑客工具和开发的木马病毒，配置文件如下所示：

在这份列表中包含涵盖windows/linux系统相关的网络扫描，端口爆破，内网穿透，流量转发，提权，驻留，凭据提权相关的各种渗透测试工具，其中还包括NSA泄漏的工具集，功能非常丰富。
总结
Peviru是一款新型的感染型病毒，有感染可执行文件和易语言编译坏境两种方式，比普通感染型病毒的传播速度更快，造成的危害更大，而开发Peviru 病毒的老豹（OldPanther）黑客组织则是一个拥有丰富渗透测试武器库，擅长编写病毒木马，且熟悉各种攻击手法，经验老道的黑客组织。
Peviru属于感染型病毒，与普通病毒不同之处在于，感染型病毒会感染正常的可执行程序，如果仅删除被感染文件，则会导致部分程序无法正常使用，360安全卫士采用清除模式修复感染型病毒，采用先进的AVE引擎技术，清除被感染程序体内的病毒代码，还原程序原有功能，中毒用户请前往360安全卫士官网安装查杀：