黑客犯罪团伙"隐匿者"被扒皮，竟然是中国人

发布时间：2017-09-19 19:25:04 所属栏目：电商来源：雷锋网

导读：副标题#e# 赛博世界似乎永远处于黑暗。每一个进入的人都拿着照明工具摸索前进，可惜的是，能照出来的只有自己眼前狭窄的一道光源。而那些隐匿在黑暗中的鬼手——黑客犯罪团伙，总让人们防不胜防。而最近，一个以牟利为目的，活跃于互联网上，拥有超强技

副标题[/!--empirenews.page--]

赛博世界似乎永远处于黑暗。

每一个进入的人都拿着照明工具摸索前进，可惜的是，能照出来的只有自己眼前狭窄的一道光源。

而那些隐匿在黑暗中的鬼手——黑客犯罪团伙，总让人们防不胜防。

而最近，一个以牟利为目的，活跃于互联网上，拥有超强技术能力并多次发动大规模攻击的黑客团伙被挖掘出来，并命名为“隐匿者”，更令人惊讶的是这个团伙可能由中国人组成或参与。

“隐匿者”最早出现在 2014 年，此后一直从事入侵服务器或者个人主机的黑色产业，他们通过植入后门程序控制这些设备（肉鸡），然后进行DDoS攻击，也会将这些肉鸡出租给其他黑产团伙。

最近，“隐匿者”主要利用这些“肉鸡”来“挖矿”——生产比特币。为了霸占用户设备长期牟利，“隐匿者”会“黑吃黑”，以此抢夺其他黑客团伙的“肉鸡”，删除其他黑客的后门账户、结束其后门进程、关闭可被能利用的攻击端口等。

作为一个四处打劫的作恶团伙，时时打磨手中利剑格外重要。早在 4 月 29 日，“隐匿者”就将刚泄露十余天的“永恒之蓝”漏洞加入自己的黑客工具箱中，这比恶性病毒WannaCry5 月 12 日首次爆发还早 2 周时间。

所以这个作恶累累的黑客团伙是如何被一点一点挖掘出来的呢？宅客频道整理了相关数据线索。

一、数据线索

在火绒终端威胁分析系统中，我们找出与攻击相关的全部恶意C&C服务器域名。通过梳理近半年的活跃C&C服务器，我们列举出了数据量最大 10 个的C&C服务器地址，如下图所示：

黑客犯罪团伙

域名汇总

以时间为轴，我们可以直观的看到依托于不同C&C服务器域名的攻击爆发趋势，如下图所示：

黑客犯罪团伙

触发防御点的域名爆发趋势

通过上图可以看出，f4321y.com、mykings.pw、mys2016.info、mykings.top四个域名在攻击时间和爆发数量上呈现出了此消彼长、持续攻击的威胁态势，且爆发数量有很强的延续性。通常，黑客攻陷的主机数量会不断激增，且黑客为了提高其隐蔽性会不断地更换C&C服务器地址。所以我们初步猜测，上述四个C&C服务器域名可能同属于一个黑客团伙。

依据上图的红色上升曲线可以看出，该黑客团伙前期攻击所控制的主机数量增长趋势较为平缓。在 4 月 14 日“Shadow Brokers”组织泄露出“永恒之蓝”漏洞之后，该黑客团伙可能将“永恒之蓝”漏洞加入到了渗透工具箱中。在此之后，依托其之前攻陷的主机，使利用mykings.top域名的攻击数量在短时间内快速爆发到了一个较高水平。

但随后，WannaCry病毒在全球范围内大范围爆发（即上图灰色虚线所示时间点）。该黑客团伙所控制的主机受该病毒影响十分严重，在大部分中毒服务器选择重置系统后，其所控制的主机数量有了明显减少。所以体现在爆发趋势上，与该黑客团伙相关的防御事件在同样使用“永恒之蓝”漏洞进行传播的WannaCry病毒流行后的很短一段时间之内出现了直线下滑，即使该黑客团伙在其后续的攻击中加入了相关的防御功能，也依然于事无补。最后，攻击事件数量稳定在了“永恒之蓝”漏洞爆发之前以下（即上图棕色虚线所示位置以下），表明除利用漏洞入侵主机受到了直接影响以外，前期该团伙所攻陷的部分主机也受到了直接影响。

经过下文详细论证，除上述四个域名外， oo000oo.club和5b6b7b.ru这两个域名也同属于这一黑客团伙。这两个域名首次触发相关防御拦截点的时间非常相近，且时间点都在与C&C服务器域名相关防御拦截事件数量锐减之后。所以我们推测，在该黑客团伙被WannaCry病毒重创之后，为了能够尽快挽回自己的“损失”，开始同时使用多个域名和服务器，并行为其进行渗透攻击。

由于该黑客团伙长期潜伏于互联网中，且其攻击对互联网所造成的威胁随时间逐渐增强，所以我们将该黑客团伙命名为“隐匿者”。

在近半年中，有多篇其他安全厂商报告中都曾出现过“隐匿者”的足迹。卡巴斯基实验室在 2017 年 2 月发布报告《New(ish) Mirai Spreader Poses New Risks》，提到了前文所述的f4321y.com和mykings.pw 域名。

针对Mirai病毒事件，火绒所拦截到的终端防御事件信息，如下图所示：

黑客犯罪团伙