黑客犯罪团伙"隐匿者"被扒皮，竟然是中国人(7)

之后，Payload动态库会注册WMI脚本执行从远端服务器获取到的名为item.dat的后门程序，并执行存放在远端C&C服务器的JScript脚本。病毒注册的WMI脚本，如下图所示：

漏洞Payload注册的WMI脚本

kill.html中存放是的需要结束的进程列表，该列表在其攻击过程中不断的进行更新。如下图所示：

kill.html中存放的进程列表（内容获取时间较早）

test.html中存放的是可执行文件的下载地址，这些文件会被WMI脚本下载到本地进行执行，且该网页中内容可以根据攻击者需求实时进行更新。如下图所示：

test.html存放的可执行文件列表

三、 “隐匿者”的溯源

通过对“隐匿者”攻击相关样本字符串特征的整理，我们发现“隐匿者”相关样本中均出现了中文调试信息。如下图所示：

f4321.com、mykings.pw和mys2016.info域名中具有地域特征的字符串信息

mykings.top和oo000oo.club域名中具有地域特征的字符串信息

根据上述信息，我们推测 “隐匿者”团伙可能由中国人组成或参与。

经过筛查与上述攻击具有同源性的样本，我们找到了更早期的相关样本，其编译时间为 2014 年 7 月。如下图所示：

早期文件信息

样本数据如下图所示：

样本数据

如上图，我们在样本数据中找到相关C&C服务器域名，其域名命名方式与前文所述域名相似，且攻击相关模块数据相同。通过域名查询，我们获取到了更多C&C服务器域名信息。如下图所示：

buysking.com域名信息

我们可以通过C&C服务器域名信息推断，相关攻击最早可能早于 2015 年 4 月。但直到 2017 年，“隐匿者”的相关攻击才被其他安全厂商报道。 

（编辑：ASP站长网）