关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城 | 社区客户端

推荐论坛版块活动众测360商城福利换券
供应链污染加感染型病毒,老豹黑客组织的豹子胆究竟有多大

  近期,360白泽实验室发现了一款新型的感染型病毒Virus.Win32.Peviru.A,该病毒除了具有感染可执行文件的行为之外,还会感染易语言编译坏境,导致用户编译的所有程序都携带该病毒,这使得Peviru比常见的感染型病毒传播速度更快。
而随着分析的深入,我们发现Peviru背后的黑客组织(后续称之为“老豹”,取自其C2服务器中多次出现的“oldpanther”一词)野心远不止于此,他们还会在各大易语言论坛发布带毒的易语言安装包和易语言模块,通过供应链感染的方式进行传播。易语言是国内非常流行的编程语言,拥有庞大的用户群体,而供应链感染加感染型的双重传播模式会让该病毒在整个网络中以爆发式的速度迅速增长,对整个网络坏境造成的影响将不可估量。而该病毒传播的最终目的是下载并部署多种功能强大的后门病毒,包含大灰狼远控和LimeRAT。

360社区

360社区

污染供应链
我们检测到“老豹”黑客组织会将带毒的易语言安装程序和其他易语言模块发布到天野学院,挂宝网等易语言论坛进行传播,污染易语言的供应链。易语言在国内拥有庞大的用户群体,其中有很多用户喜欢使用论坛版本的易语言安装程序,这也给了病毒可乘之机,颇有当年XcodeGhost事件的味道。下图是发布在天野学院的三款带毒程序:

360社区

360社区

Peviru
Peviru是“老豹”黑客组织开发的一种新型感染型病毒,该病毒除了感染正常的PE文件之外,还会感染易语言静态编译坏境,导致用户编译的所有程序都被感染,该病毒接收五个不同的参数,执行不同的感染逻辑:

360社区

360社区

感染可执行文件
Peviru会将恶意代码写入可执行程序.reloc节,并将该节的属性修改为可执行,修改程序的入口点,使其跳转后执行病毒代码,执行结束后再次跳转到程序的原始入口点执行正常的逻辑,感染Peviru病毒的程序结构及执行流程如下图所示:

360社区

360社区

感染易语言静态编译坏境
当参数为-link时,病毒会判断当前系统是否安装易语言编程环境,如果安装了,则会篡改易语言静态编译的配置文件,从而劫持静态编译流程,在静态编译结束时调用obj.exe(参数为-in)感染编译的新文件:

360社区

360社区

相关的感染逻辑如下:

360社区

360社区

下载部署后门程序
当参数为ins时,会下载大灰狼远控和LimeRAT,这两款远程控制软件都拥有非常强大的功能,能协助攻击者更全面的控制受害者机器,部署远控的相关代码如下:

360社区

360社区

最新版的LimeRAT已经提供了以下多种强大的后门功能:

360社区

360社区

与LimeRAT相比,大灰狼远控在国内更加流行,该远控的源代码也早已在国内外各大论坛流传,黑客为了躲避杀软查杀,使用了下图中的多组白利用组合,经过多层内存解密的方式加载大灰狼远控。

360社区

360社区

追踪“老豹”
在某些论坛上,我们发现一些中毒的帖子,里面提到有实验室的服务器被人攻击,而其中使用了与Peviru相同的C2:

360社区

360社区

在我们对该C&C服务器进行分析时,发现了该服务器的配置文件,上面记录了其背后黑客团伙使用的各种黑客工具和开发的木马病毒,配置文件如下所示:

360社区

360社区

在这份列表中包含涵盖windows/linux系统相关的网络扫描,端口爆破,内网穿透,流量转发,提权,驻留,凭据提权相关的各种渗透测试工具,其中还包括NSA泄漏的工具集,功能非常丰富。
总结
Peviru是一款新型的感染型病毒,有感染可执行文件和易语言编译坏境两种方式,比普通感染型病毒的传播速度更快,造成的危害更大,而开发Peviru 病毒的老豹(OldPanther)黑客组织则是一个拥有丰富渗透测试武器库,擅长编写病毒木马,且熟悉各种攻击手法,经验老道的黑客组织。
Peviru属于感染型病毒,与普通病毒不同之处在于,感染型病毒会感染正常的可执行程序,如果仅删除被感染文件,则会导致部分程序无法正常使用,360安全卫士采用清除模式修复感染型病毒,采用先进的AVE引擎技术,清除被感染程序体内的病毒代码,还原程序原有功能,中毒用户请前往360安全卫士官网安装查杀:

360社区

360社区


C2:
aoldpanther.xyz
d1x2c3q4s5.xyz
securityterm.xyz
dxcqsa.xyz
oldpanther.obs.cn-north-1.myhuaweicloud.com

新品发布|win10的你真的需要它们给你打辅助!

共 4 个关于供应链污染加感染型病毒,老豹黑客组织的豹子胆究竟有多大的回复 最后回复于 2020-7-1 00:07

评论

直达楼层

360_土豆 产品答疑师 楼主 发表于 2020-6-30 20:38 | 显示全部楼层 | 私信
顶一个
彼岸弥烟 LV5.少尉 发表于 2020-6-30 22:51 | 显示全部楼层 | 私信
希望360支持防护、查杀!
更希望能把这个集团一网打尽!
来自TAS-AN00(360社区3.5.5版)
彼岸弥烟 LV5.少尉 发表于 2020-6-30 22:52 | 显示全部楼层 | 私信
这个帖子应该置顶!
来自TAS-AN00(360社区3.5.5版)
望不到尽头 VIP认证 LV11.大校 发表于 2020-7-1 00:07 | 显示全部楼层 | 私信
支持😊
来自ONEPLUS A5010(360社区3.5.5版)
您需要登录后才可以回帖 登录 | 注册

本版积分规则

360_土豆 产品答疑师

粉丝:194 关注:0 积分:19286

精华:0 金币:44856 经验:15614

最后登录时间:2020-7-13

360AI音箱MAX-M1 360商城白银会员

私信 加好友

最新活动

招募令

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,回复:抽奖,每周抽一个锦鲤大奖,等啥呢?扫它!!!

        快速回复 返回顶部 返回列表