相信很多网友都曾有过这样的遭遇:电脑中毒后浏览器主页莫名被篡改,时不时会推出各类推广链接,使用杀毒软件无法将其斩草除根,即便格式化重装系统后也会卷土重来,犹如“狗皮膏药”一般赖在电脑中,令中招用户苦不堪言。
其实,这类病毒就是顽固病毒家族的一种。该类病毒木马采用刷流量、锁主页、恶意推广、网络攻击、挖矿等变现方式牟利,给用户的信息及财产安全造成严重威胁。在此背景下,腾讯安全详细盘点过去一年各类顽固病毒木马入侵事件,从其获利变现方式、传播渠道、以及对抗技术、典型案例等方面展开,全面剖析Bootkit/Rootkit 病毒家族的主要态势及变化趋势,并为广大企业及个人用户防范顽固病毒木马提供了实用建议。
顽固病毒“花式”获利 游戏外挂工具成“重灾区”
作为2018年最为活跃的病毒木马,顽固病毒木马具备启动早、隐蔽性高、反复感染等显著特点,从而横行网络。值得一提的是,病毒作者从入侵过程中发现系列变现获利之道,一度让普通用户蒙受重大经济损失。
数据显示,目前顽固病毒的主要变现获利包括锁主页、刷流量、恶意推广等方式,占比前三的依次为35%、30%、18%。随着挖矿黑产的兴起,挖矿获利已上升至10%,暗云新变种等Bootkit木马也转投挖矿获利。
(图:顽固病毒木马主要变现获利方式)
事实上,目前该类病毒木马的传播渠道已呈多元化发展。作为病毒传播的重要载体,盗版Ghost系统通过广告竞价排名获得网络访问量以吸引用户下载安装内嵌病毒的软件,最终劫持主页等手段进行获利;同时盗版激活工具、游戏外挂及各类下载器,针对特定目标人群发动定向攻击;另外第三方流氓软件也是顽固病毒的重要传播渠道,以看似“正常”的软件诱导用户下载,继而向用户电脑上安装病毒文件。
(图:带毒盗版Ghost系统广告竞价排名)
不止于普通用户,顽固病毒还会通过弱口令爆破、漏洞利用等入侵方式集中攻击企业用户。近年来,随着挖矿木马、勒索病毒的兴起,挖矿勒索等病毒为了提升查杀难度,获得更早的执行机会,也会与顽固病毒进行捆绑传播。
对此,《报告》提醒企业用户,尽量关闭不必要的文件共享和端口,对重要文件和数据进行定期非本地备份;采用高强度的密码,同时对没有互联需求的服务器/工作站内部访问设置相应控制。
顽固病毒三大技术对抗手段:拦截过滤、对抗杀软、自保护
《报告》指出,该类病毒作者不断提升拦截过滤、对抗杀软、自保护等技术实现对抗杀软。首先,顽固病毒木马作者通过注册各种各样的回调、hook系统相关函数,以合适的时间获得执行机会,在回调函数中完成相关的拦截过滤功能,直接拦截包括文件过滤、网络过滤等文件。
(图:独狼Rootkit过滤点)
其次,为躲避杀软查杀,病毒作者采用各种手段完成对抗,包括病毒文件名随机化、阻止杀毒软件进程启动、设备占坑、阻断联网、重定向、禁写BCD配置文件等升级技术等。此外,病毒作者会采用“自保护“方式,通过阻止或者隐藏自身注册表以达到自保护的目的。
网络攻击威胁不断加剧 技术创新守护用户网络安全
纵观整个2018年,利用顽固病毒发动的网络攻击愈发频繁。从“独狼一代”到“暗云变种”再到“外挂幽灵”团伙,顽固病毒逐渐与广大用户生活息息相关,严重威胁用户网络安全。
以“外挂幽灵”团伙为例,去年10月,腾讯安全御见威胁情报中心监测发现,“外挂幽灵”团伙利用七哥辅助网等多个游戏辅助网站传播“双枪”、“紫狐”等木马病毒。这些网站提供的多款游戏外挂工具会私自携带多个木马病毒,在安装过程中会释放锁主页程序、开心输入法和“紫狐”木马下载器等恶意程序,给用户造成不必要的经济损失和麻烦。
综合整个《报告》可以看出,顽固病毒凭借隐蔽性强、反复感染、难以查杀等特点,逐渐成为黑产分子惯用攻击方式之一。腾讯安全对此建议用户务必提高网络安全意识,保持腾讯电脑管家等安全软件实时开启状态。如果用户已经中招,在用杀毒软件查杀过程中被强制重启,导致杀毒过程终端无法彻底清除该病毒时,可以使用腾讯电脑管家PE版急救箱进行查杀,可彻底查杀顽固病毒。
(图:腾讯电脑管家急救箱)
来源:中华网