“假面遠控”相關組織與產業鏈分析

前言

“過啟動”、“過網購”、“單檔案”……這些流傳於黑產木馬團伙中的專有名詞，旨在體現作者其“高超技術”。與之相對應的，則是受害者的網銀被盜刷，遊戲賬號被盜，隱私被竊取時的“悲慘遭遇”。

遠控木馬傳播方式有很多種，其中一類主要依託於即時通訊類軟體（如QQ、微信、YY等），透過社會工程學對特定物件進行攻擊，我們稱其為“假面遠控”。其攻擊的目標則主要選擇網路遊戲玩家或網銀使用者。具體的攻擊流程通常是將惡意程式偽裝為圖片、文件傳送給目標使用者，有時也會製作虛假程式安裝包，透過投遞下載站，搭建虛假網站方式騙取使用者下載。與此同時，木馬製作團伙也會持續與安全廠商進行對抗。這其中包括程式碼層面從加單加殼到強加殼加密，檔案碎片化的演變；執行方式上從落地啟動到動態載入的演變；通訊層面不斷更新遠控通訊協議，從直接上線轉為間接方式獲取上線資訊的演變；乃至對合法應用的劫持幾乎也不斷推陳出新，甚至演變出了利用偽造的材料騙取證書頒發機構頒發虛假證書的手段。

在這條黑色產業鏈內部，有著明確的角色區分：有木馬作者、有銷售平臺、有傳播者、有銷贓者……從惡意程式碼的製作到最終的獲利組建了一條完整的鏈條。

運作分析

木馬的製作

負責該環節的人即是木馬作者，他們製作“免殺”木馬後出售給“購買者”，並在一定時間內提供維護和更新。我們透過對現有“免殺”木馬的編譯器特徵檢測，發現其中“易語言”佔很大比例，這可能是其包含的工具庫豐富從而開發速度快以及學習門檻較低等原因所致。

木馬的銷售

木馬的銷售常見的有透過架設網站公開宣傳銷售的，如下圖，

也有透過貼吧，QQ群，論壇等向固定人群銷售的。一些“高階”遠控也會選擇只向老客戶以及“熟人介紹”方式的小範圍內銷售，一些“免殺”遠控目前的市場價格已經達到約5000元/月。

木馬的傳播

“攻擊者”拿到了“免殺”木馬之後，就會想辦法向目標進行投遞。最常用的傳播方式有下面幾種：

1。 透過在遊戲大廳發廣播，論壇貼廣告的形式，誘騙使用者透過聊天工具聯絡攻擊者。之後利用QQ、微信、YY客戶端等進行傳播。這種方式成功率較高，而且目標性很強，為了更好的欺騙目標使用者，木馬程式會使用比較具有“針對性”的名稱。

2。 捆綁在正常軟體、遊戲外掛中，透過下載站、網盤進行傳播。

3。 在搜尋引擎購買關鍵詞，透過釣魚網站傳播。這類傳播方式中，木馬一般捆綁在相應遊戲的客戶端中。

4。 此外，有少部分木馬還會透過社群論壇，郵件等形式進行傳播。

受害者畫像

我們透過對中招使用者的資料進行統計分類，其人群劃分大致如下：

較為流行的假面遠控團伙

·

TorchWood

主要成員來自江蘇、廣東、黑龍江、吉林一帶。2014年開始活躍，以使用者“網銀”為主要攻擊目標。比較典型的攻擊案例是“使用CHM格式檔案攻擊目標使用者”，後期逐漸轉向透過聊天軟體傳送木馬，以誘導性的檔名稱欺騙使用者點選。

·

GamePatch

主要成員來自廣州。2015年開始活躍，善於使用大量指令碼對攻擊中的各種攻擊動作進行銜接和跳轉，通常將製作的遠控木馬捆綁於其他軟體中，常見的如“影音影片”、“棋牌遊戲”、“私服客戶端”等。

·

YuanBao

主要成員來自湖北。2016年開始活躍，17年開始使用“CHM文件攻擊”，後來自行架設網站，販賣所謂的“企業遠控”。從18年開始，開始透過替換使用者計算機中常用軟體的方式進行對抗，對抗更新頻繁。

2018年上半年假面遠控團伙技術對抗時間線

2018年1月：帶有簽名的應用劫持技術開始被廣泛使用（知名事件如IVT簽名應用劫持和shunwang簽名應用劫持等）。

2018年3月：木馬生成的應用劫持檔案體積開始膨脹對抗安全軟體檢測。

2018年4月：假面遠控開始嘗試利用網路阻斷技術對抗安全軟體查殺。

2018年5月：木馬嘗試使用Lnk方式執行命令，企圖繞過安全軟體監控。

2018年6月起：假面遠控的遠端通訊協議開始持續變化，與安全軟體開始了持續性的協議對抗。

2018年7月：大量假面遠控開始以 “Downloader”的形式出現，從遠端伺服器下載載荷到本地執行。此手法可以有效縮小木馬自身體積方便傳播，同時更加靈活的更新惡意程式碼。存放載荷的伺服器後多轉變為免費虛擬主機或是被入侵其他站點。

2018年7月：同時出現強殼加密、“模擬滑鼠鍵盤訊息”方式啟動木馬、使用虛擬機器檢測技術等手段，說明假面木馬已經開始大量吸取其他型別木馬的特性來提高自己的隱蔽性和與安全軟體對抗的能力。

在此期間，木馬作者使用了包括灰鴿子、forshare、小松鼠、大灰狼、gh0st、白金等數款遠控軟體，其更新頻率由最初的每週更新逐漸轉為每半天更新。

竊取使用者財產與隱私資訊

攻擊開始之後，攻擊者一般會透過盜刷網銀賬戶、轉移虛擬財產、竊取使用者隱私資料等方式獲取有價值內容，這也是攻擊者“回本”的階段。這個過程可能在幾個小時或者幾天內完成。

"網銀"的竊取

“網銀”被竊取的情況大致分為：

1。 中毒機器接入了第三方支付平臺

2。 中毒機器開通了支付系統

3。 中毒機器內儲存的身份證、預留手機號、姓名、銀行卡號等重要資訊洩漏

其中，第1，2種情況下，受害人多為小商家或淘寶賣家人群。攻擊者以類似於商業活動一類的藉口接近受害者並騙取信任。一旦植入假面遠控成功，則會將受害者錢款轉入“非法獲得的他人銀行賬戶”，之後再想辦法透過其他途徑最終流到自己口袋。

而對於第3中情況，通常經過“渠道代理”進行“代扣”操作，之後扣除“返點”拿到剩下的欠款。

"虛擬財產"的竊取

對於虛擬資料來講，透過平臺內部的“自由交易”方式獲取遊戲財產後賣掉，或者直接出售掉被盜使用者的賬戶。

結語

隨著資訊化的普及與安全軟體的發展，以假面遠控為代表的較為典型的“傳統惡意程式”作者們也不會再僅僅專注於木馬本身的開發和 “免殺”。各種新的攻擊手法和攻擊目標也將成為他們的拓展方向。

以近幾年的對抗形勢來看：

1。 應用劫持技術已然成為一大趨勢。利用系統或各類軟體的功能，使用各種手段拼接實施攻擊。接下來的發展會成為木馬應用劫持技術與安全廠商查殺技術之間的一場博弈。

2。 木馬針對性更強。越來越多的木馬團伙不再延續以往“撒網捕魚”式的求量不求質的低轉化率傳播模式，而是變為更有針對性的點對點投放。對特定人群進行特定的針對性投放攻擊——更精準的打擊也帶來更高的轉化率。

3。 更頻繁的迭代。專業的團隊、明確的分工、完整的產業鏈，所帶來的會是更高的利益轉化率。而這又勢必刺激這個產業鏈的從業者更加勤奮的參與到與安全廠商的對抗中。今後木馬的變種頻率和技術水平，也都會進入到一個更高的迭代速度。

我們更會持續的跟蹤、分析黑色產業並與之對抗，維護網際網路安全。

相關擴充套件閱讀

《遠控木馬巧設“白加黑”陷阱：瞄準網店批發商牟取錢財》：

《PotPlayer播放器極致最佳化版木馬分析報告》：

《007駭客組織及其地下黑產活動分析報告》：

《棋牌遊戲木馬》：https：//www。anquanke。com/post/id/146848

《常用軟體劫持》：https：//mp。weixin。qq。com/s/rd0ifs-cGmHpcoe-YlKwUw