黑客犯罪团伙"隐匿者"被扒皮，竟然是中国人(3)

根据火绒终端威胁情报系统所提供的防御拦截数据，我们可以进一步得出，上述的几个域名相关的攻击行为具有极强的同源性。如下图所示：

域名相关病毒行为同源性

如上图所示，与几个C&C服务器域名相关的攻击手法具有以下三个相同点：

1. 上述六个域名都具有相同的病毒行为，远程脚本运行和命令行脚本启动FTP。

2. 命令行脚本启动FTP命令行参数中，以时间为序，前三组FTP用户名同为“mssql2”，后三组用户名同为“test”，且所有FTP所使用的密码全部都是1433。

3. 远程执行脚本调用的命令行参数，除域名 (下图标红部分)改变外，其他参数及参数位置完全相同。如下图所示：

远程执行脚本参数

剧雷锋网了解，火绒的终端用户受到黑客攻击后，在用户终端检测到与C&C服务器进行通信的攻击样本。通过分析，这些样本在错误字符串、传播机制、 编程语言和编译器等细节也表现出了很强的同源性。

其中f4321y.com、mykings.pw和mys2016.info域名相关样本为同源样本，样本中字符串信息具有很高的相似性。如下图所示：

f4321y.com、mykings.pw和mys2016.info域名相关样本字符串数据对比

早期版本的攻击采用了多种攻击模块。攻击相关数据如下图所示：

病毒数据

完整攻击模块列表如下图所示：

病毒攻击模块

根据扫描主机的开放端口，病毒会采用如上图所示的攻击方式进行攻击。如下图所示：

针对不同的端口发起攻击

（编辑：ASP站长网）