黑客犯罪团伙"隐匿者"被扒皮，竟然是中国人(4)

病毒攻击所使用的相关数据来自于C&C服务器（在我们所分析的样本中，下载地址为：http:// up.f4321y.com:8888/wpd.dat），数据是进行过加密的。下载后病毒会将wpd.dat文件的md5 数值与C&C服务器中wpdmd5.txt中存放的md5 数值进行比较，如果相同则进行解密。如下图所示：

病毒攻击数据处理流程

解密后的数据是一段xml ，数据中包括攻击IP、不同攻击所使用的端口和字典。如下图所示：

处理攻击IP

处理不同攻击所使用的端口

处理字典

虽然上述攻击具有很高的复杂度，但是其攻击手段所受到的限制也非常多。在 2017 年 4 月 14 日“ Shadow Brokers”泄露的“永恒之蓝”攻击之后，“隐匿者”编写了新的“永恒之蓝”攻击模块，直接用于与mykings.top和oo000oo.club域名相关的渗透攻击中，其出现时间比同样利用“永恒之蓝”漏洞进行传播的WannaCry病毒（ 2017 年 5 月 12 日）还要早。

（编辑：ASP站长网）