騰訊安全盤點年度頑固病毒事件 三大對抗手段成

  網絡花邊資訊娛樂     |      2019-02-28 14:50

  相信很多網友都曾有過這樣的遭遇:電腦中毒后瀏覽器主頁莫名被篡改,時不時會推出各類推廣鏈接,使用殺毒軟件無法將其斬草除根,即便格式化重裝系統后也會卷土重來,猶如“狗皮膏藥”一般賴在電腦中,令中招用戶苦不堪言。

  其實,這類病毒就是頑固病毒家族的一種。該類病毒木馬采用刷流量、鎖主頁、惡意推廣、網絡攻擊、挖礦等變現方式牟利,給用戶的信息及財產安全造成嚴重威脅。在此背景下,騰訊安全詳細盤點過去一年各類頑固病毒木馬入侵事件,從其獲利變現方式、傳播渠道、以及對抗技術、典型案例等方面展開,全面剖析Bootkit/Rootkit 病毒家族的主要態勢及變化趨勢,并為廣大企業及個人用戶防范頑固病毒木馬提供了實用建議。

  頑固病毒“花式”獲利 游戲外掛工具成“重災區”

  作為2018年最為活躍的病毒木馬,頑固病毒木馬具備啟動早、隱蔽性高、反復感染等顯著特點,從而橫行網絡。值得一提的是,病毒作者從入侵過程中發現系列變現獲利之道,一度讓普通用戶蒙受重大經濟損失。

  數據顯示,目前頑固病毒的主要變現獲利包括鎖主頁、刷流量、惡意推廣等方式,占比前三的依次為35%、30%、18%。隨著挖礦黑產的興起,挖礦獲利已上升至10%,暗云新變種等Bootkit木馬也轉投挖礦獲利。

  

騰訊安全盤點年度頑固病毒事件 三大對抗手段成

  (圖:頑固病毒木馬主要變現獲利方式)

  事實上,目前該類病毒木馬的傳播渠道已呈多元化發展。作為病毒傳播的重要載體,盜版Ghost系統通過廣告競價排名獲得網絡訪問量以吸引用戶下載安裝內嵌病毒的軟件,最終劫持主頁等手段進行獲利;同時盜版激活工具、游戲外掛及各類下載器,針對特定目標人群發動定向攻擊;另外第三方流氓軟件也是頑固病毒的重要傳播渠道,以看似“正常”的軟件誘導用戶下載,繼而向用戶電腦上安裝病毒文件。

  

騰訊安全盤點年度頑固病毒事件 三大對抗手段成

  (圖:帶毒盜版Ghost系統廣告競價排名)

  不止于普通用戶,頑固病毒還會通過弱口令爆破、漏洞利用等入侵方式集中攻擊企業用戶。近年來,隨著挖礦木馬、勒索病毒的興起,挖礦勒索等病毒為了提升查殺難度,獲得更早的執行機會,也會與頑固病毒進行捆綁傳播。

  對此,《報告》提醒企業用戶,盡量關閉不必要的文件共享和端口,對重要文件和數據進行定期非本地備份;采用高強度的密碼,同時對沒有互聯需求的服務器/工作站內部訪問設置相應控制。

  頑固病毒三大技術對抗手段:攔截過濾、對抗殺軟、自保護

  《報告》指出,該類病毒作者不斷提升攔截過濾、對抗殺軟、自保護等技術實現對抗殺軟。首先,頑固病毒木馬作者通過注冊各種各樣的回調、hook系統相關函數,以合適的時間獲得執行機會,在回調函數中完成相關的攔截過濾功能,直接攔截包括文件過濾、網絡過濾等文件。

  

騰訊安全盤點年度頑固病毒事件 三大對抗手段成

  (圖:獨狼Rootkit過濾點)

  其次,為躲避殺軟查殺,病毒作者采用各種手段完成對抗,包括病毒文件名隨機化、阻止殺毒軟件進程啟動、設備占坑、阻斷聯網、重定向、禁寫BCD配置文件等升級技術等。此外,病毒作者會采用“自保護“方式,通過阻止或者隱藏自身注冊表以達到自保護的目的。

  網絡攻擊威脅不斷加劇 技術創新守護用戶網絡安全

  縱觀整個2018年,利用頑固病毒發動的網絡攻擊愈發頻繁。從“獨狼一代”到“暗云變種”再到“外掛幽靈”團伙,頑固病毒逐漸與廣大用戶生活息息相關,嚴重威脅用戶網絡安全。

  以“外掛幽靈”團伙為例,去年10月,騰訊安全御見威脅情報中心監測發現,“外掛幽靈”團伙利用七哥輔助網等多個游戲輔助網站傳播“雙槍”、“紫狐”等木馬病毒。這些網站提供的多款游戲外掛工具會私自攜帶多個木馬病毒,在安裝過程中會釋放鎖主頁程序、開心輸入法和“紫狐”木馬下載器等惡意程序,給用戶造成不必要的經濟損失和麻煩。

  綜合整個《報告》可以看出,頑固病毒憑借隱蔽性強、反復感染、難以查殺等特點,逐漸成為黑產分子慣用攻擊方式之一。騰訊安全對此建議用戶務必提高網絡安全意識,保持騰訊電腦管家等安全軟件實時開啟狀態。如果用戶已經中招,在用殺毒軟件查殺過程中被強制重啟,導致殺毒過程終端無法徹底清除該病毒時,可以使用騰訊電腦管家PE版急救箱進行查殺,可徹底查殺頑固病毒。

  

騰訊安全盤點年度頑固病毒事件 三大對抗手段成

  (圖:騰訊電腦管家急救箱)