黑客犯罪团伙"隐匿者"被扒皮，竟然是中国人(5)

通过样本字符串数据的比对，我们可以看到，mykings.top和oo000oo.club域名相关样本也具有非常高的同源性，在所例举的数据中仅有域名相关部分不同。如下图所示：

mykings.top和oo000oo.club域名相关样本字符串数据对比

我们通过其同一时间所使用的网址内容除域名部分完全相同。如下图所示：

mykings.top和oo000oo.club域名下网页在同一时间所显示的内容

除此之外在同一时间，与两个域名相关攻击所使用的close2.bat脚本也完全相同，脚本中所包含的域名也完全一致（同为ftp.oo000oo.me）。所以我们可以直接得出，与两个域名相关的攻击同属于 “隐匿者”。如下图所示：

mykings.top和oo000oo.club域名相关攻击所使用的脚本

通过对类似防御事件的筛查，我们找到了与上述mykings.top域名相关的终端数据。如下图所示：

按时间排序的终端防御数据

根据防御事件信息，我们发现最早出现的防御信息中父进程为系统进程lsass.exe进程，与“永恒之蓝”漏洞触发后特征完全吻合。在使用“永恒之蓝”漏洞之后，“隐匿者”的攻击就可以直接绕过用户名密码的限制，大大提高攻击的成功率。于此同时，“隐匿者”也对其病毒代码进行很大程度的削减。在“永恒之蓝”漏洞触发后，在注入到lsass.exe进程的Payload动态库中，我们发现其主要逻辑首先会执行一段执行配置，配置中包括需要下载的文件和需要执行批处理脚本。批处理中如下图所示：

漏洞Payload的执行配置

（编辑：ASP站长网）