Sep 17 2016

哈勃发布七月威胁情报:Gh0st后门木马变种肆虐

首页 » 业界见闻 » 哈勃发布七月威胁情报:Gh0st后门木马变种肆虐   

哈勃发布七月威胁情报:Gh0st后门木马变种肆虐

近日,腾讯安全联合实验室之反病毒实验室旗下的哈勃分析系统,发布《七月威胁情报态势报告——Gh0st恶意网络协议篇》(以下简称《报告》)。《报告》指出,哈勃分析系统对7月捕获到的威胁情报进行协议解析发现,Gh0st是按恶意网络协议分类后比较活跃的木马,该木马变种较多,比较活跃的是原始版本和“KrisR”变种版本。不同变种会倾向于使用不同的C&C服务器域名,且以动态域名为主。1.png

 

(Gh0st木马趋势变化图)

 
  《报告》数据显示,Gh0st及其各类变种木马是七月活跃较为明显的一类木马,且在上旬活跃度达到峰值。据了解,Gh0st木马能够窃取用户电脑中的各类信息,是有名的后门类木马之一,在2008年该木马作者主动公布了其源代码,导致众多不法分子基于此代码修改开发了不同的变种木马。目前已有多个版本的Gh0st木马代码在网上流传,变种众多、网络协议格式不稳定也成了Gh0st木马的一大特征。
 
  哈勃分析系统通过研究发现,这些木马主要从源代码中协议的Magic字符串、类型标识对应的数值以及数据结构中的字段和含义等三个方面进行修改。其中,协议的Magic字符串是不法分子制作变种木马时最常被修改的位置。《报告》指出,Gh0st木马的一些网络协议用到了Magic字符串,而默认的字符串即是木马的名称“Gh0st”,并且大部分变种使用的Magic字符串保留了与“Gh0st”相同的长度,或是在此基础上重复2次或者3次,少部分变种直接使用了与原Magic字符串完全不同的字符串。《报告》显示,原始版本的“Gh0st”、重复版本“Gh0stGh0st”以及“KrisR”变种版本是较为活跃的木马,三者占比达到88.65%。
2.png

 

(Gh0st木马与Magic字符串分布图)

 
  此外,哈勃分析系统通过对木马连接C&C服务器时使用的域名进行分析发现,域名有按Magic字符串聚集的趋势,使用不同Magic字符串的变种,也会同时更换不同的服务器域名。此外,Gh0st及变种木马还大量使用了动态域名来定位C&C服务器。

3.png

 

 (Gh0stGh0st木马C&C服务器域名热度分布图)
3.png
 
(KrisR木马C&C服务器域名热度分布图)
 
  腾讯反病毒实验室哈勃分析系统建议用户,下载和使用软件始终从正规网站或官方网站,不要轻信小型网站、网盘分享的文件以及群、论坛等社交渠道推荐的软件。对于不放心的软件,可以使用哈勃分析系统对其进行检测,如果发现风险,建议安装腾讯电脑管家等安全类软件,并保持其处于运行状态。同时可以配合使用一些防火墙类软件,对于符合已知的恶意网络协议特征的网络数据包进行监控和拦截。

 

 

如果您喜欢本博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容:

正文部分到此结束

文章标签: ghost木马

版权声明:若无特殊注明,本文皆为( mOon )原创,转载请保留文章出处。

也许喜欢: «660万明文密码泄露,知名广告公司Clixsence被黑客端了个底朝天 | 关于Python漏洞挖掘那些不得不提的事儿»

你肿么看?

你还可以输入 250/250 个字

微笑 大笑 拽 大哭 亲亲 流汗 喷血 奸笑 囧 不爽 晕 示爱 害羞 吃惊 惊叹 爱你 吓死了 呵呵

评论信息框

这篇文章还没有收到评论,赶紧来抢沙发吧~

友情链接:万达娱乐招商  万达娱乐开户  万达主管  华宇招商  万达娱乐开户  万达娱乐平台  测试  万达注册  guoqibee.com  万达娱乐开户