揭秘地下黑客論壇最流行的惡意軟體和黑客工具
- 2019 年 10 月 4 日
- 筆記
通過對Recorded Future平台索引的所有地下黑客論壇分析2018年5月至2019年5月期間超過390萬個帖子,Insikt Group確定了地下黑客論壇中引用的頂級惡意軟體變種,Insikt Group還試圖找到與這些論壇上更多惡意軟體引用相關的真實事件,以及在不同語言的論壇中宣傳的惡意軟體及工具的差異,以查看是否存在任何差異。
地下黑客論壇是網路犯罪分子宣傳各種惡意軟體變種和黑客工具的市場,Insikt Group通過分析從2018年5月至2019年5月期間各種地址黑客論壇超過390萬個帖子,確定了一些與實際攻擊相關的最流行的頂級惡意軟體變種。
大多數惡意軟體都是包含多種語言版本的,包括公開可用的兩用工具,開源惡意軟體或破解的惡意軟體,而且一些惡意軟體系統已有三年歷史。
Insikt Group還了解到地下黑客論壇使用不同語言,如英語、中文和俄語,並專註於不同的惡意軟體,包含不同的惡意軟體類別和攻擊媒介等。
在地下黑客論壇上打廣告,排名前十的惡意軟體類別包括MinerGate和Imminent Monitor等兩用工具,還包括njRat,AhMyth,Mirai和超過三年的惡意軟體Gh0st RAT開源惡意軟體。
根據該報告顯示,不同語言的地下論壇關注不同的目標和攻擊媒介,例如,講中文和英語的地下論壇更多地關注Android設備,而非俄羅斯同行,中文地下黑客論壇的十大惡意軟體包括三個Android木馬:SpyNote,AhMyth和DroidJack,英語地下黑客論壇包括這三個中的兩個:SpyNote和DroidJack,這與俄語組織形成鮮明對比,後者的前十名中沒有任何移動惡意軟體。
論壇中使用中文提到的十大惡意軟體,如下所示:
論壇使用英語提到的十大惡意軟體
論壇使用俄語提到的十大惡意軟體
我們發現了多個惡意軟體,這些惡意軟體在多個語言組中進行了廣泛討論,包括以下幾個:
1.njRat,2012年底創建的Windows RAT ,其源程式碼可在某些論壇上在線獲取,這種RAT在英語,*語,西班牙語,俄語,中文(繁體)和波斯語帖子中很受歡迎 2.SpyNote,一種開放式基於Android的RAT,包含鍵盤記錄和GPS功能,此應用程式在2016年開始的惡意軟體論壇中找到,這種RAT在英語,中文(簡體),中文(繁體),西班牙語,日語和*語帖子中很受歡迎 3.GandCrab是一個以同名作家聞名的勒索軟體,於2018年1月初發現,GandCrab的主要供應商於2019年6月退休, FBI 於2019年7月發布了版本4,5,5.04,5.1 和5.2 的主解密密鑰。這些勒索軟體在俄語,中文(簡體),西班牙語,波斯語和語帖子中很受歡迎4.DroidJack是一款Android RAT,於2014年創建,其官方網站以210美元的價格銷售終身許可證,但在地下論壇上使用破解版本便宜得多。這種RAT在中文(簡體),中文(繁體),英文和文帖子中很受歡迎
從上面可以發現最受歡迎的惡意軟體為:勒索軟體和遠控RTA軟體為主,主要的原因我想是因為:勒索軟體能帶來暴利,遠控RTA主要用於APT攻擊使用。
同時發現njRAT在英語論壇和俄語論壇中都很受歡迎,該RAT以其隱秘功能而聞名,它用於在後台靜默運行,並且還能夠禁用防病毒程式和其他Windows安全功能。
Insikt Group還確定了從2018年5月到2019年5月提到的頂級惡意軟體類別,其中最主要的類別是:Ransomware、Cypter、Trigan、WebShell,如下所示:
頂級惡意軟體HASH值 ,如下所示:
頂級惡意軟體及其交付機制
詳細的分析報告鏈接:
https://www.recordedfuture.com/measuring-malware-popularity/
報告下載鏈接:
https://go.recordedfuture.com/hubfs/reports/cta-2019-0724.pdf
有興趣的朋友可以下載研究一下
這份報告雖然是統計過去一年地下黑客論壇中的惡意軟體,但可以幫助安全研究人員更深入地了解惡意軟體供應商和購買者的習慣,以及黑產團伙是如何通過地下黑客論壇上的特定活動使某些惡意軟體比其他惡意軟體更成功,討論最多的惡意軟體有可能就是未來一兩年攻擊最多的樣本,這些數據都具有很高的參考價值。
追蹤研究各種惡意軟體一直是安全研究的重點,做安全這麼多年我一直從事這方面的分析與研究工作,我也很喜歡研究各種不同的惡意樣本,每次拿到新的樣本,都有一種很想去研究一番的衝動。
正如我前面的文章提到的,研究惡意軟體可以得到很多有價值的資訊,可以從樣本的角度去了解一些黑產團隊的活動,從而弄清整個黑色產業鏈是如何運作的,最近一兩年針對企業的勒索病毒越來越多,新的勒索病毒家族不斷湧現,背後還有多少黑產團伙正在開發新的勒索軟體,以及他們打算如何運營這些惡意軟體,以獲取最大的利益?
我想未來一定會有更多的惡意軟體出現,會不斷有新的變種產生,安全就是一個一直對抗的過程,基於無文件攻擊技術也越來越成熟,成為了惡意軟體攻擊鏈中的重在一個環節,勒索軟體也是最近一年地下黑客論壇最受歡迎的惡意軟體,我們需要持續關注這些惡意軟體的動態,及時做好相應的防禦措施。
*本文作者:熊貓正正,轉載請註明來自FreeBuf.COM
