订阅博客
收藏博客
微博分享
QQ空间分享

猪肚,007黑客安排及其地下黑产活动剖析陈述,气象

频道:人人中彩票 标签:路边捡到主神系统你的名字壁纸 时间:2019年05月15日 浏览:201次 评论:0条

0x00 摘要


  • 最早能够追溯到2007年开端进行制造并传达歹意代码等互联网地下工业链活动,一向活泼至今。
  • 制造并传达的Hook007类样本HASH数量到达17万个,相关歹意代码云查询阻拦次数到达1.3亿次,相关歹意代码首要以后门和盗号程序为主。
  • 首要针对我国用户,累计受影响用户超越千万,单就Hook007宗族计算近一年被感染用户到达50万。
  • 相关初始进犯首要依托即时通讯东西(QQYY等)选用社会工程学办法进行对特定方针进行进犯;相关进犯方针首要为网络游戏玩家等一般网民,别的对教育、金融范畴有几回针对性进犯。
  • 进一步进犯办法首要是将歹意代码假装为图片、文档等发送给特定方针,别的是制造虚伪游戏途径网站,网站供给假装游戏途径(game456等)装置包的歹意代码。
  • 该组织继续与安全厂商进行对立,至少针对包括360在内的3款国内安全软件,以及卡巴斯基、比特梵德等国外相关安全产品采纳过针对性技术措施,对立行为最早能够追溯到2008年。对立办法从实体文件到通讯协议进行相关对立,首要医院编号针对本地静态扫猪肚,007黑客组织及其地下黑产活动分析陈说,气候描、云查杀、自动防护战略和网络层等环节的检测。别的值得留意的是该组织成员会自动将歹意代码上报给安全厂商,意图是申请将歹意程序增加白名单或许勘探安全厂商检测机制。单就Hook007这个宗族,咱们对相关产品进行了屡次晋级或检测战略调整。
  • 该组织首要以盗取用户数据、互联网资源与服务乱用进行牟利。经过计算作者单就Hook007这一种远控,每年至少获利超越百万。别的经过盗取用户数据和虚拟工业,形成每年一般网民工业丢失逾千万元。Hook007这条地下工业链获利总额现已过亿。
  • 该组织相关成员分工明晰,从制造歹意代码到终究获利组成了一条完好的地下工业链。首要包括制造歹意代码、传达、更新、获利等环节。
  • 目录榜首章 若干年的地下工业链活动 1
  • 一、关于007组织的工业链 1
  • 二、影响规模最大的地下工业链 2
  • 三、进犯方针 2
  • 四、进犯时刻(改变趋势) 3
  • 五、牟利 3
  • 六、用户反应 5
  • 第二章 进犯办法分析 8
  • 一、典型进犯流程 8
  • 二、歹意代码传达 9
  • 三、继续对立 12
  • 四、制造和更新 16
  • 第三章 该组织运用的C&C 22
  • 一、C&C分类(依据功用) 22
  • 二、依托第三方途径中转 22
  • 第四章 暗地始作俑者 24
  • 附录1 HOOK007宗族样本分析陈说 25
  • 附录2 007组织涉案金额预算 25
  • 附录3 C&C 26
  • 附录4 MD5值 27

0x01 榜首章 存在若干年的地下工业链活动


一、关于007组织的工业链 咱们从2011年开端发现Hook007宗族歹意代码,经过咱们的继续监控和分析,暗地巨大的黑客组织逐步浮出水面,咱们将该组织命名007组织。该组织最早从2007年开端进行制造并传达歹意代码,盗取用户数据、虚拟工业等互联网地下工业链活动,一向活泼至今。这是咱们现在捕获到的影响规模最大,继续时刻最长的地下工业链活动。 以007组织为主的地下工业链首要触及产品是技术服务和歹意代码,该组织的中心产品是Hook007长途操控歹意代码,进一步首要包括制造歹意代码、传达、更新、获利等环节。Hook007长途操控是该组织独立开发并进行继续的更新保护。007组织具有紧密完好的组织结构,其间中心成员首要为开发和一级代理出售,现在咱们能明晰把握的是经过歹意代码这种产品的买卖是该组织牟利的首要办法之一。相关歹意代码传到达终究经过盗取用户数据进行牟利这一环节咱们能够确定是该地下工业链的一部分。

图1顾客与生产者根本关系

007组织触及的地下工业链中首要仍是充任卖家(生产者)的人物。从下图产品分类中,能够看出007组织触及的产品首要为歹意代码(远控、免杀等东西)和供给相关技术服务。别的该地下工业链中其他环节会包括数据信息、权限、缝隙等产品,但不是007组织首要触及的产品类型。

图2地下工业经济链体系中产品分类

二、影响规模最大的地下工业链 007组织相关进犯活动最早能够追溯到2007年,从2011年开端十分活泼。制造并传达的Hook007类样本HASH数量到达17万个,变种数量到达66种,相关歹意代码传到达达1.3亿次。别的咱们近三个月捕获到该宗族的免杀器版别已超越上百个,购买用户超越600个。该组织的相关进犯活动首要针对我国用户,累计受感染用户超越千万,单就Hook007宗族计算近一年被感染用户到达50万。 该组织在进犯成功后会经过长途操控强行阻挠用户操作游戏,并直接将用户的虚伪工业、游戏配备进行买卖转给盗号者帐号。别的该组织一向与安全厂商进行继续的对立,从静态查杀、动态检测到网络不同层面进行躲避和对立。 这是咱们历年来捕获到的影响规模最大,继续时刻最长的地下工业链活动。 三、进犯方针 经过咱们的研讨分析能够得出,007组织首要针对我国区域的用户,其间首要重视网络游戏玩家等一般网民。 别的对教育、金融范畴有几回针对性进犯:相关歹意代码原始文件名

2015证券数据-验证.exe

2015年注册化工工程师-验证.exe

2015年重庆市社会作业员作业水平考试.exe

2015年执业医生(临床).exe

2015年山东区域第三季度管帐从业.exe

2015江苏第四季管帐从业-部分验证.exe

2015cpa注册管帐师数据-验证.exe

15年造价工程师-验证.exe

15贵州管帐从业数据.exe

15高级职称考生报名.exe亡命刺客

表1相关歹意代码原始文件名相关计算项

详细内容

开端时刻

2014年10月10日

完毕时刻

2015年10月10活蛎肽日

被感染用户数量

500559个

歹意代码数量

161581个

表2 Hook007宗族感染状况计算

图3近一年受Hook007宗族影响的用户数量

四、进犯时刻(改变趋势)

图4歹意代码更新记载

  • 上图是咱们就Hook007宗族改变趋势的记载,每个时刻点都是Hook007宗族新增变种或许相关进犯办法或资源有严重改变的记载。 007组织相关进犯活动最早能够追溯到2007年,而从2011年开端Hook007宗族开端影响比较广泛,能够看出在2014年到2015年期间Hook007版别更新迭代十分频频。 五、牟利(一)歹意代码 歹意代码的制造和更新保护是007组织的中心事务。进一步相关类型首要是木马生成器、免杀和一些定制木马。作者每年单就Hook007这一种长途操控歹意程序获利就已超越百万。下图是咱们截获的该组织相关歹意程序的报价单。

  • 图5007组织相关歹意代码报价单(更新时刻为2010年7月)
  • 咱们近三个月捕获到该宗族的免杀器版别已超越上百个,购买用户超越600个。下图是购买相关歹意程序的地下工业链成员的散布状况,能够看出以广东省最多,其次是河南和山东省。

  • 图6购买Hook007远控的地下工业链成员散布(最近三个月数据)
  • (二) 盗取用户数据 Hook007长途操控首要功用便是进犯者能够彻底操控受害者的机器,进犯者能够下发恣意操控指令。从咱们收到的许多被感染Hook007木马的用户反应中能够得知,该组织在进犯成功后一般会经过长途操控强行阻挠用户操作游戏,并直接将用户的虚伪工业、游戏配备进行买卖转给盗号者帐号。也便是首要以盗取用户虚拟钱银、网游配备来进行牟利。经过盗取用户数据和虚拟工业,形成每年一般网民工业丢失逾千万元。
  • (三) 其他 DDOS:该组织成员有开发如“毁灭者DDOS”等DDOS东西,由此咱们置疑除了东西的开发,相应地下工业链或许有触及相关DDOS进犯事务。 歹意推行:经过咱们监控发现,该组织在操控受害者主机之后,或许会长途操控下载履行推行包,经过装置量来到达牟利的意图。

六、用户反应 咱们从第三方途径和360论坛等途径收到许多用户反应,相关反应首要会集在现已形成用户工业丢失的用户求助信息。 以下是一些典型用户反应的截图和链接:

参阅链接:http://chinacue是什么意思.findlaw.cn/ask/question_1720116.html

参阅链接:http://bbs.open.qq.com/thread-7593006-1-1.html

参阅链接:http://bbs.360safe.com/thread-3943057-1-1.html

参阅链接:http://bbs.360safe.com/thread-6119441-1-1.html0x02 进犯办法分析


  • 一、 典型进犯流程(一) 依据即时通讯东西

  • 图11典型进犯流程(依据即时聊天东西)
  • 详细进犯进程: a、 进犯者首要依托游戏途径进行“喊话”或发站内信,以出售、收买或交流游戏配备的名义发送虚伪音讯,并留下QQ号。 b、 受害者经过游戏途径了解到进犯者发送的音讯,假如受害者不知情则有或许增加进犯者联络办法,自动联络进犯者。 c、 进一步进犯者经过QQ等即时聊天东西进一步获取受害者信赖。 d、 当进犯者取得受害者必定程度信赖后,进犯者会将木马文件假装成“配备图片”等发送给受害者,受害者接纳履行后则被植入相关后门木马,被进犯者操控。 e、 长途操控玩家电脑,确定计算机的键盘、鼠标,或设置屏幕黑屏。并短时刻内将玩家的游戏配备,金币买卖给盗号者的帐号。
  • (二) 依据冒充网站

  • 图12典型进犯流程(依据冒充网站)
  • 详细进犯进程: a、 进犯者首要制造冒充网站,这儿首要是冒充如game456类游戏途径网站,一起会制造相应虚伪的歹意装置包程序。终究冒充网站上的下载链接会指向这个虚伪装置包程序。 b、 进一步进犯者需求让相应用户拜访冒充网站,首要途径是经过查找引擎和依据即时聊天东西等途径。进犯者会运用付费推行等办法,使得相关冒充网站在查找某些关键字的时分,能够优先呈现在查找成果中。 c、 受害者从查找引擎查找出或许从聊天东西中收到相关冒充网站链接,并点击翻开冒充网站,则有或许下载相应虚伪装置程序。冒充网站制造的与正常官方网站从外观看根本共同,用户很难区别真伪。别的相关游戏途径官方网站或许装置包的来历是否为官方源本来就没有明晰明晰的提示,所以用户从查找成果中很难辨认哪些是可信,那些是歹意的。 d、 当受害者下载并履行了虚伪装置包,则操作体系会被进犯者操控。 e、 长途操控玩家电脑,确定计算机的键盘、鼠标,或设置屏幕黑屏。并短时刻内将玩家的游戏配备,金币买卖给盗号者的帐号。 注: 以上是干流的进犯流程,一些非干流进犯流程没有详细打开。如运用邮件附件传达、挂塑料再活力马传达等传达办法,DDOS进犯,在受害主机上下载履行推行包等获利形式等。

二、歹意代码传达 歹意代码的传达办法首要会集在依托即时通讯东西和网站。其间以依托即时通讯东西这种办法占干流。

  • (一) 即时通讯东西 进犯者首要依托即时通讯东西进行歹意代码传达,从现在捕获到的状况首要分为直接发送PE可履行程序,另一种是QQ群同享。该办法针对性强,但也简单被受害者感知到。

  • 图13经过QQ传达的文件形状示例

  • 图14经过YY传达的文件形状示例
  • 因为Windows体系默许是不敞开显现后缀和躲藏文件的。所以受害者们接纳到这些文件压缩包解压后,发现木马文件里边只含有“BMP格局”的图片(实则是指向病毒程序的快捷办法),而实在含有歹意代码的文件则被躲藏起来
  • (二) 网站
  • 1)冒充游戏途径网站 进犯者会建立虚伪的游戏途径,并经过查找引擎、弹窗等办法推行。冒充的游戏途径网站与官方网站外观共同,受害者很难分辩真伪。进犯者会将虚伪的歹意装置包放置到冒充的网站上,当用户拜访网站下载并履行相应虚伪装置包则会被进犯者操控。 下图是咱们在某闻名查找引擎上查找凤凰山庄的查找成果。能够看到,榜首页的两条推行成果为冒充的网站。

  • 图15“凤凰山庄”查找成果

  • 图16冒充凤凰山庄网站(左),凤凰山庄官网(右)

图冒充凤凰山庄和官网的比照截图,咱们能够看出除了网址不同,其他页面外观均共同。很难分辩真伪。 进犯者不是单一挑选一款游戏我国地图高清途径进行冒充假装。咱们能够从下表看出,进犯者冒充了许多游戏途径。详细参看下表:冒充游戏途径称号

虚伪歹意网站

补白阐明

199游戏

235游戏中心

game235.top

883XX游戏中心

game88369.com.cn

www.game88369.gyemw.com

www.game88369.zxshy.com

www.game88369.nmqzx.com

www.game88369.yjfjn.cn

该系列其他称号还猪肚,007黑客组织及其地下黑产活动分析陈说,气候有

www.ycttcy.net

88370-88381,一共12个

K7豫游游戏中心

qipai007.aliapp.com

凤凰游戏山庄

fhgame.sdforging.com.cn

tlwt1258.cn

vikodrive.cn

fhgame.sdforging.com.cn

汉游全国装置包

shlvxun.gamr89.com

集结号游戏中心

www.jjhggame.com

建德游戏

www.byjd571.net

宁波游戏大厅

www.nbgame.org

四川游戏家乡

28qp.com.tw

天妃游戏

网狐游戏家乡

foxuc.com.cn

foxuc.com.tw

襄阳同城游戏

0710yx.aliapp.com

www.hnz耳鸣怎么办cs.com

0710yx.xmwwy.com

cng.minsun.cc

07l0yx.co

07l0.gamr89.com

0710yx.yksyx.org

0710yx.asia

云海游戏

yunhai78.07l0yx.co

众安棋牌89游戏中心

fjtu123.gamr89.com

www.ftqp888.com

  • 表3冒充游戏途径网站列表

2)官方网站装置包被替换 咱们捕获到从某些游戏途径官方网站下载的装置包被替换为包括恶balance意代码的虚伪游戏途径装置包。 进一步咱们分析官方可信网站存在歹意虚伪装置包这种状况上古十大魔神,或许由以下两种状况导致: 榜首、相关官方可信网站被攻陷,正常装置包被进犯者替换; 第二、官方可信网站的相关作业人员或许故意替换放置歹意虚伪装置包。 从咱们的分析来看,更倾向于榜首种状况。下面是凤凰游戏山庄网站存在歹意虚伪装置包的状况:凤凰游戏山庄官方网站

时刻 | 2015-09-15 19:03:20

父页面 | http://game.fhgame.com/download.html

下载URL | http://down.fhgame.com/fhgame/FHGameLobby/FHGameLobby.exe

歹意文件MD5 | ef749aecd9a292cd0c6873840d6f9115

  • 表4被替换歹意虚韩奉财假装置包详细信息

三、继续对立 该组织继续与安全厂商进行对立,至少针对包括360在内的3款国内安全软件,以及卡巴斯基、比特梵德等国外相关安全产品采纳过针对性技术措施,对立行为最早能够追溯到2008年。对立办法从实体文件到通猪肚,007黑客组织及其地下黑产活动分析陈说,气候信我喜爱你协议进行相关对立,首要针对本地静态扫描、云查杀、自动防护战略和网络层等环节的检测。别的值得留意的是该组织成员会自动联络安全厂商,意图是申请将歹意程序增加白名单或许勘探安全厂商检测机制。单就Hook007这个宗族,咱们对相关产品进行了屡次晋级或检测战略调整。以下将从静态查杀、动态检测、网络监控和勘探厂商检测,这四个方面逐个打开相关对立办法的介绍

  • (一) 静态查杀

  • 图17静态查杀对立相关开展改变趋势
  • 从上图能够明晰看出Hook007在静态查杀相关对立开展进程,如字符串从明文更新到加密字符串,终究为无字符串特征。 前期的Hook007宗族是经过暴风白运用,然后再扩展到其他厂商(如迅雷等)白文件运用。所谓“白运用”一般指的是病毒运用正规厂商的正常程序作为保护,经过这些程序在判别逻辑上的一些缺点运用其加载木马作者的供给的歹意代,用以躲避安全软件的查杀。最近一段时刻,该族系木马则改为运用微软的rundll32.exe文件运转含有歹意代码的dll文件。
  • (二) 动态检测
  • 1)运用特别浮点指令bypass虚拟机查杀
  • 2)LDTDetect:检测LDT基址坐落0x0000时为实在主机,否则为虚拟机
  • 3)GDTDetect:检测GDT基址坐落0xFFXXXXXX时阐明处于虚拟机中,否则为实在主机
  • 4)VMwareDetect:检测VMware特权指令来检测虚拟机
  • 5)荆棘婚途起初是自发动,之后进一步更新为一次性
  • 6)逐步阉割Gh0st后门灵敏功用
  • (三) 网络监控
  • 1)运用3322上线->其他动态域名->尖端域名->直接ip->微博,网盘中转
  • 2)Gh0st上线协议->修正协议头->逐步修正成无特征协议


  • (四) 勘探安全厂商检测机制 为了木马能更有用的防止安全厂商检测,该组织成员有自动提交相关样本,来探迅疾猎手测安全厂商检测机制的活动。 进犯者勘探的办法首要经过给安全厂商样本上报邮箱发送邮件和经过安全厂商官方论坛反应问题和样本。下图是进犯者给比特梵德、卡巴斯基和360安全厂商发送的勘探邮件截图。

  • 图19进犯者勘探(经过邮件1)

  • 图20进犯者勘探(经过邮件2)

被勘探的厂商

相关被勘探的邮箱地址

比特梵德

sample sample@bitdefender-cn.com

卡巴斯基

newvirusnewvirus@kaspersky.com

360

opensoft opensoft@360.cn

  • 表5被勘探相关安全厂商列表 下面两张图片是该组织在2013年12月和2015年9月别离提交的两个贴,均提交到360论坛问题反应子板块。

  • 图21进犯者勘探(经过论坛反应1)
  • 参阅链接:http://bbs.360safe.com/thread-3248178-1-1.html

  • 图22进犯者勘探(经过论坛反应2)
  • 参阅链接:http://bbs.360safe.com/thread-6202909-1-1.html

四、制造和更新 007组织在开发的歹意代码东西品种比较多,其间以给力长途操控东西和给力免杀器为主。而相关更新保护则首要是针对Hook007宗族进行相关更新。

  • (一)007相关歹意软件

  • 图23Hook007相关歹意软件品种
  • 从上图咱们能够看出007组织会触及到制造或传达给力免杀、给力远控、盗号木马、DDOS、缝隙扫描、下载者和其他远控,其间给力免杀和给力远控是007组织首要开发和保护的东西。 以下首要是该组织中心成员开发的相关东西的截图。作者在东西上都会留下自己的昵称(前期为小寡妇007,后期首要是Hook007)和QQ号(24585329)。

  • 图24 remote007东西截图

  • 图25大牛B下载者生成器截图

  • 图26阿凡提长途操控软件截图

  • 图27毁灭者DDOS界面

  • 图28相关绑缚东西截图
  • (二)Hook007长途操控(给力远控) 咱们一向继续盯梢监控的Hook007宗族,其生成器作者命名为“给力”远控。

  • 图29给力长途帮忙东西

  • 图30给力长途帮忙东西登录验证东西

  • 图31给力免杀器
  • (三)Hook007长途操控迭代更新 该组织制造的歹意代码首要以假装图片或文档,虚伪装置包这两种形状,这两种终究后puzzle门程序均为Hook007宗族,是依据Gh0st进行修正的版别。

  • 图32歹意代码更新记载
  • Hook007宗族首要更新改变趋势
  • 2012 年之前,Hook007宗族,仍是原始版别的Gh0st远控,发动参数猪肚,007黑客组织及其地下黑产活动分析陈说,气候带有Hook007,fuck360,fuck007等,经过不同的发动参数,决议木马履行装置流程仍是远控流程。
  • 2012年中旬,依据开源远控协议,大约每两三天发一批新域名的木马。IP由域名解析得到。
  • 2012年末,依据开源协议进行小幅度变种。大约每两三天发一批新域名的木马。IP由域名解析得到。
  • 2013年中旬,依据开源协议进行大幅度变种,需经过大数据分析捕获协议特征。大约每天发一到两批新域名的木马。IP由域名解析得到。
  • 2013年中下旬,依据开源协议,针对360监控形式,参加混杂数据,大约每天发三到四批新域名的木马,IP由域名解析得到。
  • 2014年头肉段子,依据开源协议参加迷惑性数据,伪形成其他常见数据协议,难与干流协议区别。无新域名,选用直接拜访IP,大约每天发七到八批新IP的木马。
  • 2014年中旬,网络协议为自定义协议,一起伪形成其他常见数据协议,经过第三方途径网站的自定义内容跳转到拟定IP,大约每天发六到七批新木马。
  • 2015年头,网络协议为自定义协议,直接恳求IP,假如无法上线,再经过第三方途径网站的自定义页面查找新IP,约每半小时一批新IP木马。
  • 2015年中下旬,更新自定义协议,直接恳求IP,假如无法上线,再经过第三方途径网站的自定义页面查找新IP,约每半小时一批新IP、新协议木马。

0x03 该组织运用的C&C


一、C&C分类(依据功用) 该组织呈现运用的C&C(Command and control,通讯操控)十分多,相关域名、IP也是分工明晰。咱们大约从C&C功用的视点分分出相关C&C的品种:

  1. 直连续IP
  2. 连进犯者所持有的域名,进一步解析域名指向IP
  3. 衔接腾讯微博,解析页面中IP
  4. 衔接永硕E盘,解析页面中IP
  5. 验证或更新的IP:专用于后门更新的服务器。
  6. 假造游戏途径网站的域名和IP

别的在本陈说“第二章进犯办法分析”中“三、继续对立”章节,咱们现已介绍了进犯者在网络层面是怎么进行继续对立的,也便是下图能够看出进犯者在挑选C&C的改变趋势。

图33歹意代码与服务器通讯改变趋势

二、依托第三方途径中转 下面两个图是永硕E盘和腾讯微博取得上线IP的详细截图:

图34运用永硕E盘取得上线IP

图35运用腾讯微博取得上线IP

下面两个截图是进犯者用来解析腾讯微博上线IP地址的东西,和该东西相关代码截图。

图36解析微博、网盘东西

图37微博IP查询器相关代码截图

0x04 暗地始作俑者


007组织相关成员分工明晰,从制造歹意代码到终究获利组成了一条完好的地下工业链。首要包括制造歹意代码、传达、更新、获利等环节。 从现在咱们已知的数据来看,该组织相关成员首要散布在湖北、山东和广东三个区域。

图38 007组织架构

007组织首要以Hook007(嫌疑人01)为主,Hook007和另一名嫌疑人02是首要开发人员,开发的歹意软件以Hook007远控(给力远控)为主。别的Hook007与黑友(又叫黑色经济,嫌疑人08)在前期就有相关事务协作,黑友的人物与广东熊二(嫌疑人06)类似。相关更新保护作业首要环绕Hook007远控打开。以Hook007远控为主的歹意软件会供给给山东相关同伙和广东同伙,其间以广东的熊二为主。以广东熊二为例,熊二作为代理商的人物会将相关远控东西在供给给其他下级买家。 进一步后续会有专人担任传达歹意代码和相关盗取用户数据、歹意推行。因为相关传达进程需求社会工程学欺诈受害者,以及需求与受害者屡次交互,所以咱们估测相关传达歹意代码的人员和盗取用户数据的人员会有堆叠的状况。终究相关人员将盗取的数据信息经过第三方网络游戏买卖途径或其他途径进行买卖,终究到达获利。 别的值得咱们留意的是广东相关同伙的上家除了Hook007,还有其他组织供给许多的歹意程序。另猪肚,007黑客组织及其地下黑产活动分析陈说,气候外山东同伙触及Android木马(以短信阻拦马为主)的相关事务。

0x05 附录


附气虚的症状有哪些录1 Hook007宗族样本分析陈说 详细请参看:

  1. “罪恶宗族——Hook007木马”,http://blogs.360.cn/blog/Hook007_trojan/
  2. “罪恶宗族Hook007之埋伏篇”,http://blogs.360.cn/blog/hoook007/

附录2 007组织涉案金额预算007组织中心成员涉案金额

(单对Hook007生成器预算)

预算办法

单价:300元

生成器数量(三个月):120个

具有生成器的人数:1个生成器对应10个人

定论

一年预算:300*120*10*4=144万元

受害用户丢失金额

(单对受Hook007宗族影响的预算)

预算办法

近一年受影响用户约:50万左右

实在被盗取配备的用户预算为受影响的1/100:5000

依据专业反欺诈途径猎网途径的计算数字显现,因游戏帐号被盗而导致的用户丢失人均为:2338元

定论

一年预算:5000*2338=1169万元

附录3 C&C 触及到的部分域名和IP:

0710yx.aliapp.com
0710yx.asia
0710yx.xmwwy.com
0710yx.yksyx.org
07l0.gamr89.com
07l0yx.co
106.111.140.16
106.226.228.105
106.80.54.138
106.80.56.59
111.195.244.20
14.119.236.212
14.119.237.103
14.119.239.174
14.119.241.1
654004572.ys168.com
983830035.ys168猪肚,007黑客组织及其地下黑产活动分析陈说,气候.com
a594250576.ys168.com
a6601251.ys168.com
bobo.haoyue1688.com
ccl0579.com
cng.minsun.cc
dioeopp.org
ewq889966.ys168.com
t.qq.com/a_739377521
t.qq.com/a1005561469
t.qq.com/a1156573029
t.qq.com/a125245585
t.qq.com/a12d132
t.qq老井.com/a136410138

附录4 MD5值 部分歹意代码的MD5值:

5d8d0fd05af1264abb1d22cdb0406f83
f4f56532dea762d1be186bbe0f9e616e
12e71fc967f54fe989d500d38925eceb
4df813d38430d5ca988cb8d42cdf8e0b
7a005b7b22abc69b247e1c031688fe7e
f9ccb246b6b86c7f0d92c86c4560a17a
bfcc17fb2d5662b0b08727eb1ac243c0
1e657ebc26731ee8655eeeeed179bb62
efca9a583e86aa4ca2da424498799583
09b78b16f5猪肚,007黑客组织及其地下黑产活动分析陈说,气候c54093cc658c21fb0方虹日28802
e30cd3b3d3bd4702d179858d0a0143fb
4991f063a1119a682ac82964303fd8cd
6132d5867eef96b69f67ee25a46b70da
8da89564a0259b29d7f9455443427e6f
8e21131ce2b38e1b000fc7ff9天价萌妻80e40c2
17643d8a6e5982bce1e5647450f8365e
7ee1e4a7e61d5df97c52563d7a2838e7
ded24dc5158a3bd57546e02af0419317
70fa304c459d280d5b506d54362762a2
8c5d4c868b61d0e1d26fc5bc31369181
8e46b65ff218bc4e7d116c3bf5fddc61
3b3fd6e9ebd9e47bb221693f5aa3a770
557d573cccf1e71d43ce9f49b3bc116c
42cfc7c9bcb595e5eb3a857974605cd0
73be41e111bb5598ec14b13e6472099f
041536acfd00fe9f10b51c3fefdb9798
31e8889d79aad982323faef454e59f6e
71b7b652330c94cb7c9d42197b04a600
448e84bbdb9721d80b65c27a0278644c
353264b562660a940d5d761bfa2e1ced

本文作者:Drops,转载自:http://www.mottoin.com/detail/2716.html