黑客犯罪团伙"隐匿者"被扒皮，竟然是中国人(8)

四、不断更新的攻击手段

2017 年以来，信息安全领域威胁事件频发，“隐匿者”也在不断地利用这些安全信息对自己的攻击进行改进。“隐匿者”所使用的不同攻击手段所占比重，随时间不断的进行演变。从如下图所示：

不同域名相关恶意行为占比

以时间为序，我们可以看出“隐匿者”不断更换域名的同时，也在不断的改进其攻击方式，而且其攻击方式的更新会紧跟互联网安全事件。例如：起初，“隐匿者”会通过“远程脚本运行”的方式绕过AppLocker白名单。在 2017 年初爆出“远程执行MSI安装包”可以绕过AppLocker白名单之后，终端拦截到的“运行远程MSI安装包”行为开始明显增多（上图第四部分）。显然在年初爆出消息后，“隐匿者”也将新的绕过AppLocker白名单的方法加入了自己的渗透工具。

虽然自始至终“隐匿者”所采用的攻击都是高度程序化的，但是在这一阶段，因为其只能通过暴力破解用户名密码的方式进行不同种类的攻击，所以其攻击效率并不是很高。如下图所示：

利用暴力破解手段攻击流程

剧雷锋网了解，在 2017 年 4 月 “Shadow Brokers”组织爆出“永恒之蓝”漏洞之后，“隐匿者”随即将该漏洞加入到了自己的渗透工具中。利用漏洞运行的动态库会注册WMI脚本，最终再由WMI脚本启动后门程序，从而直接获取到主机的控制权。这种攻击模式不但省去了耗时的遍历暴力破解流程，还大大提高了攻击的成功率，使“隐匿者”所控制的主机数量在短时间内大幅提升。攻击流程，如下图所示：

利用漏洞攻击流程

五、争夺主机控制权

（编辑：ASP站长网）