技术支持 联系方式
首页 新闻热点 正文

火绒安全 回顾:后门病毒Gh0st近年变种演化 四川 成都 科汇科技 分销服务商——成都科汇科技有限公司

| | 新闻热点
网络安全的核心本质是攻防对抗。当防病毒技术在不断完善的同时,病毒也在不断设法予以对抗,夹缝求生。Gh0st 后门病毒就是其中之一。Gh0st 是一种远程访问工具(RAT),最早出现在 2001 年左右,通过远程控制受感染计算机来执行各种恶意活动。其发展历史与网络攻击、渗透测试和间谍活动紧密相连,并且相关代码已经开源,致使对应变种层出不穷,对用户造成了较大的威胁。据“火绒威胁情报系统”显示, Gh0st 在国内常见的后门病毒中占比最大,超过50%。
数据统计图
传统的 Gh0st 由控制器和服务器组成,其功能模块多以插件形式下发,包含如下功能:                    
  • 键盘记录
  • 远程终端访问
  • 远程音频和视频访问
  • 文件管理
  • 远程文件下载和执行
  • 进程资源管理器和其他系统枚举功能
  • 图形用户界面交互(远程控制)
  • 自我更新
  • 重置 SSDT 以删除现有挂钩
Gh0st 木马截图
火绒工程师在分析该病毒的对抗历程和变化特征时发现,该病毒不仅持续更新免杀对抗手段,而且传播途径花样百出,前后发生至少五次主要变种:
第一次变种
黑客通过攻击用户 SQL Server 服务器的方式,利用数据库相关进程下载并执行 Gh0st 后门病毒的早期变种—— “神农远控” ,火绒安全产品及时感知并拦截了该变种。
火绒查杀图
不同于原始 Gh0st 的单一执行方式和注册表的简单利用,该变种除了会在不同的操作系统(InstallTime、WOW64 等)中执行不同的病毒逻辑外,还用于感染后的信息交互。
部分操作截图
在前期信息收集的过程中,该变种除了原有的硬件信息外,还添加了对各种杀软和敏感软件的检测,以供控制端调整执行策略。
软件遍历
在通信方面,一改传统 5 字节 “Gh0st” 默认开头和13 字节特征数据头,通过添加固定的 “HTTPWWW.NCBUG.COM” 绕开 Gh0st 的流量端的关键字匹配。对于回传的数据部分,更是直接自定义了要执行的 shellcode 代码,用于指定各种自定义操作。
代码部分截图及完全功能展示
第二次变种
在供应链污染问题上,“火绒威胁情报系统”同样发现了 Gh0st 变种的利用踪迹。一款名为 HellohaoOCR_V3.1 的图像识别程序经分析携带着后门病毒 Scvhost.exe(Gh0st 的变种),该程序作者由于利用了第三方的易语言导致编译环境被感染,从而导致病毒被不断扩散。
火绒查杀图
Scvhost.exe 作为 Gh0st 的一个变种,除了通过传统的 C&C 服务器接收上线消息通知外,还添加了可以通过 QQ 上线的方式。其原理是通过 QQ 一个公开接口来获取加密之后的其他 C&C 服务器地址和端口,以此变换服务器地址并绕过杀软 IP 封禁。
远控配置界面
该变种在执行层面上,继承了前面已提到过的杀软对抗,shellcode 代码执行等特点。但在通信操作上,除了前面提到的 QQ 上线外,该变种会通过第三方网站 “ip.cn” 来获取真实的 C&C 服务器地址,确保获取到的 C&C 服务器地址不会受到当前网络环境影响(比如 DNS 劫持)。
相关代码及功能展示
第三次变种
黑灰产软件往往是病毒聚集的重灾区,Gh0st 变种也将目光瞄准了此处。火绒安全工程师根据用户反馈和“火绒威胁情报系统”监测,发现 Gh0st 的变种通过 “穿越火线” 等多款游戏外挂传播,并通过 QQ 群、网盘等渠道持续扩散。
火绒查杀图
在本次事件中 Gh0st 变种的执行依托于父文件 “白加黑” 的攻击组合,经过多层 PE 流调用和内层解密逻辑,最终通过动态库的导出函数调用内存中注入的 Gh0st 变种:
相关代码及功能展示
与上面例子中提到的后续操作中不同的是,该变种直接下发勒索病毒进行全盘文件加密,还会在遍历检测杀毒软件的过程中,通过控制端消息弹窗功能对中毒用户进行恐吓 “别杀毒了,木有用”:
相关代码及功能展示
第四次变种
Gh0st 变种不断在免杀对抗方面加强。火绒安全工程师在用户感染的电脑中发现了蠕虫病毒,根据相关威胁信息展开溯源分析,最终发现是以 Gh0st 变种后门为 “主”,蠕虫为 “辅” 的恶意控制行为。
火绒查杀图
该 Gh0st 的变种在注册修改,杀软遍历以及自定义的后门控制功能上,与第一个例子 《火绒5.0公测阶段就立功 有效防御某一类常见黑客攻击 》 文章中分析的变种相差无几,根据连接的域名的同源性以及 DDOS 模块的移除(DDOS 网站已过期),可以判断是同一样本的不断改进。
相关代码及功能展示
值得注意的是其最终落地的方式,作为嵌入最深,解密最多,最后释放的 “本体” ,其所依附的父文件经过多层嵌套。使用了包括多层 PE 流调用、VMProtect 和 Safengine Shielden 加壳保护、DLL 内存加载、异常反调试、流程混淆在内的多种免杀技术。被捆绑的其它家族的感染型病毒用于掩护后门执行并加大破坏性,影响恶劣。
相关代码及功能展示
第五次变种
近期火绒安全工程师在追踪 “Xidu” 组织的过程中,捕获到的多个“Xidu”变种样本, “Xidu” 团伙所使用的后门病毒实质为 Gh0st 的新型变种。
火绒查杀图
其在逻辑上改动很大,对代理和激活命令的设置,以及上线间隔,数据包标志等大量代码都进行删改,但主体框架依旧可辨。
主逻辑对比图
对于一些边缘的功能函数,则没有发现太大的改动,由此更加确信其基于 Gh0st 开发的判断。
逻辑对比
逻辑对比
在对该变种的追踪过程中,其使用的免杀技术经过多次迭代:多层 “白加黑” ——>多层 PE 调用流——>加壳混淆——>DDR 绕过等,改进十分频繁。
流程迭代图
除了上述中提到过的手法外,该变种利用压缩包嵌套释放出大量落地文件,对于 C2 等配置也会存放到单独文件中,期望减少自身威胁特征值并干扰分析流程。除此之外,其还通过快捷方式来将自身添加到注册表进行持久化,一改原始服务写入的方式。关于分析细节,请转到对应文章链接中查看。
相关代码及功能展示
对于以上变种,火绒安全工程师在深入了解其攻击原理和手法特征后,将防御策略应用到产品中,可进行拦截、查杀。该病毒团伙预计后续还会持续更新其变种,火绒安全实验室会持续跟进,保障用户的终端安全。
公司:北京火绒网络科技有限公司,火绒安全软件企业版,火绒终端系统
火绒安全,火绒,火绒安全软件,火绒官网,火绒杀毒软件怎么样,
火绒企业版怎么收费,火绒企业管理员密码,火绒企业版监控员工电脑,
火绒企业版收费标准,火绒企业版价格,火绒企业版与个人版有何不同,
火绒企业版卸载要密码,火绒,火绒安全、EDR V1.0, ,火绒安全防护
服务区域:
云南火绒,昆明火绒 ,贵州火绒,四川火绒,重庆火绒 ,西藏火绒,拉萨火绒,
产品:火绒安全卫士(专业版)软件 ,火绒终端安全管理系统v2.0,火绒安全终端安全管理系统2.0版,火绒终端安全管理系统V1.0,火绒终端安全管理系统,火绒 windows PC 版(10用户起订),火绒安全 终端管理系统Windows V2.0,火绒终端企业版Linux版,火绒终端企业版macOS版。火绒企业版收费标准,火绒企业版, 火绒企业版监控员工电脑,火绒企业版和个人版区别, 火绒企业版价格,火绒企业版多少钱,火绒企业版多少钱一年,火绒信息安全软件 linux PC V2.0终端安全管理系统网络版,huorong endpoint security management system2.0
火绒终端防病毒系统,火绒安全 火绒终端安全管理系统V2.0 Windows杀毒软件 ,火绒终端安全管理系统( Linux版),火绒安全终端安全管理系统V2.0Linux版,信息安全软件 火绒 windows PC 三年续费版(10用户起订),火绒安全 终端安全管理系统V2.0Linux版 安全软件,火绒专杀工具(企业版),火绒安全 火绒终端安全管理系统2.0(旗舰版),火绒企业网络版杀毒软件升级,火绒企业网络版杀毒软件升级,火绒杀毒企业版多少钱
功能:实现终端安全系统的集中管理、策略配置、报表查看等功能。50个Windows客户端全功能版授权许可,
病毒防御:病毒查杀,防病毒终端软件:网络版杀毒软件,服务器杀毒软件,Linux服务器杀毒软件,防病毒软件EDR、杀毒软件(反病毒引擎、多层次主动防御系统、病毒防御、系统防御、网络防御、设备控制等,网络版杀毒软件 1套,终端安全控制系统,EDR终端安全管理,外网电脑杀毒软件,勒索病毒诱捕,文件实时监控,恶意行为监控,U盘保护,下载保护,邮件监控,web扫描。反病毒引擎供应商。定时全网扫描,
漏洞管理:(漏洞修复)补丁分发,补丁修复,漏洞攻击拦截、攻击溯源,支持漏洞集中修复,补丁文件管理,按终端修复,下发漏洞修复。横向渗透防护,
移动存储管理功能:安全U盘,U盘管控,U盘注册、U盘信任,USB无线网卡、USB有限网卡、打印机、光驱、蓝牙设备、便携设备等
终端管控:
外设管控,
系统防御:系统加固,应用加固,软件安装拦截,摄像头防护,浏览器保护
应用软件管理:企业软件管家,软件捆绑安装拦截,软件安装拦截,
网络防御:横向渗透防护,网络入侵拦截、对外攻击拦截、僵尸网络防护、爆破攻击防护、远程登录防护、web服务保护、 Web 威胁,恶意网址拦截,动态恶意软件检测,无文件恶意软件,终端动态认证,邮件监控,文件实时监控,网络入侵防护。恶意行为监控,勒索病毒诱捕。
访问控制:IP协议控制、IP黑名单、联网控制、网站内容控制、程序执行控制、设备控制,下发IP访问限制,安全软件自我保护,密码保护。
应用加固:web服务器、数据库、办公软件、文档阅读器、浏览器、设计软件,系统加固
资产管理:资产管理、边界管理、软件管理、系统管理、硬件管理、XP防护盾、流量管控、,终端审计、edr功能,远程桌面,预防勒索病毒,拦截恶意攻击等功能。清点硬件资产,
日志报告:
中心管理:
服务端支持系统:Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016
客户端支持系统:Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016、Windows Server 2019等Windows操作系统以及UOS、深度Linux、中标麒麟、红旗linux、CentOS、Ubuntu等Linux操作系统
品类:终端安全:终端安全防护,终端安全软件,企业级杀毒, 终端安全防护软件授权,网络终端安全管理项目,终端设备防护,终端安全管理设备,终端安全专项保障,终端安全管理平台,终端安全管理系统,终端安全管理平台升级及维保项目,终端安全运营平台,终端安全管理系统升级,终端安全防护,终端安全防护扩容服务,终端安全管理平台,终端安全管理系统,端点保护市场,edr运营体系, 终端防户能力,全网管控,电脑终端防护需终端安全管理windows版求。xdr,edr,信息安全软件 火绒 windows PC 版(10用户起订),火绒安全 终端管理系统Windows V2.0,
杀毒软件:
信息安全软件 ,企业杀毒软件,网络安全病毒防治与安全加固服务项目,火绒杀毒软件,火绒杀毒,网络版防病毒软件
成都科汇科技有限公司( 终端安全 软件 解决方案商 )
地址:成都市人民南路四段1号时代数码大厦18F
电话:400-028-1235
手机:180 8195 0517(微信同号)
在线客服系统