黑客犯罪团伙"隐匿者"被扒皮，竟然是中国人

除了上文中所述的 “隐匿者”外，还有一些小的黑客团体也在使用类似的手段进行攻击，在互联网中相互抢夺存在安全漏洞的主机控制权。在黑客攻陷主机之后都会在主机中创建后门账户，其最明显的争夺主要在这些后门账户上。如下图所示（上方为火绒拦截到的“隐匿者”攻击相关恶意行为爆发趋势，下方为火绒拦截到的“隐匿者”对其他后门账户的操作增长趋势）：

“隐匿者”对其他后门账户的操作趋势

根据上图所示数据，我们可以看出为了争夺这些有限的主机控制权，黑客团伙之间的争夺异常激烈。“隐匿者”通过不断的攻击主机收集到了一些常见的后门账户名，再利用批处理直接对这些常见的后门账号名进行删除操作。

除了通过删除账户对主机的控制权进行争夺外，“隐匿者”也会结束与其他黑客团伙攻击相关的病毒进程。在攻击期间，“隐匿者”所使用的结束进程列表会随着其所收集到的其他病毒数据的增多而不断进行更新。如下图所示：

kill.html中存放的进程列表（最新）

与前文中所展示的早期kill.html页面相比该列表有了明显的更新，病毒结束的进程数量大幅增加。通过火绒终端威胁情报系统中的实时监控防御数据，我们将比较具有代表性的进程路径罗列在了一起。如下图所示：

结束进程列表中比较具有代表性的进程路径

通过对数据的整理，我们发现了一个尚未被其他安全厂商提及的未知黑客团伙（相关信息见上图标红部分），该黑客团伙会利用“永恒之蓝”漏洞入侵主机挖取门罗币。相关恶意行为信息，如下图所示：

未知黑客团伙利用“永恒之蓝”漏洞挖取门罗币

我们将上述防御数据进行统计整理出了未知黑客团伙的攻击趋势，并将其与“隐匿者”的攻击趋势和“隐匿者”结束未知黑客团伙的病毒进程的数量趋势进行比较。如下图所示：

“隐匿者”与利用漏洞挖取门罗币攻击与结束进程事件对比

通过上图我们可以看出，利用漏洞挖取门罗币的相关病毒事件比“隐匿者”将“永恒之蓝”加入其渗透工具的时间点要早，且由于 “隐匿者”可能在其之前攻击中就已经获取到了与挖取门罗币病毒的相关数据，所以在“隐匿者”使用漏洞进行攻击的第一时间就将挖取门罗币的病毒进程加入到了进程结束列表中，且其结束相关进程的动作在挖取门罗币病毒爆发期间基本维持持续增多的趋势。在病毒爆发过后，相关动作的发起数量也有明显下降。

自年初至今，其他的黑客组织（如上述未知黑客组织）也在进行不同程度的网络攻击，但相较于“隐匿者”而言这些攻击发起数量较小，且不具有持续性。可以预料的是，“隐匿者”并不会就此罢手，未来可能带来更多安全威胁，我们也会对“隐匿者”进行持续跟踪。

（编辑：云计算网_宿迁站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!