臭名昭著的“双枪”又有新动作? 360安全大脑发布威胁预警
关注网络信息安全的朋友们一定不会对“双枪”这个名字感到陌生,2017年7月,360安全中心率先曝光了国内首例连环感染MBR(磁盘主引导记录)和VBR(卷引导记录)的顽固木马,并根据上述特征将其命名为“双枪”。
随后,在2018年3月、6月和10月,360安全中心又先后发现此木马的2、3、4代升级变种版本,这些新版本除了增加了系统HIVE文件恶意锁定能力之外,与杀软的对抗措施也更加复杂完善,涉及的黑灰产业务种类也在不断拓展。
2018年12月23 日,360旗下DNSMon 系统监测到三个异常域名,通过360安全大脑对该域名解析的IP地址及一系列相关数据的综合比对,360方面发布了双枪木马近期可能更新基础设施并再次大面积发作的预警。
从首次发现至今的短短17个月中,双枪木马共进行了3次大版本更新,多次变更感染路径和传播手段,涉及的网络基础设施也十分庞杂,除了锁定浏览器主页进行流量劫持外,还增加了包括QQ恶意推广、私服推广及盗取游戏账号等盈利方式。毫不夸张的说,双枪木马是目前最为复杂的恶意程序之一。
2018年5月,360发布了全球首个分布式智能安全系统360安全大脑,将人工智能、大数据与云计算等一系列技术引入安全领域,可以对网络安全威胁进行分析、判断、处置、响应、反制等决策进行辅助,极大增强了处置网络安全威胁的能力。
此次发现双枪木马的基础设施更新,正是来自360安全大脑对网络安全威胁的溯源能力。通过综合比对此前双枪木马在传播中使用过的IP地址、域名、代码样本以及加密算法等特征,判断出双枪木马在近期会再次进行大范围传播。换而言之,不法分子在传播木马之前必然会更换新的域名和IP地址来躲避安全软件的查杀,而正是这种行为暴露了他们的踪迹。
除此之外,360安全大脑还对双枪木马典型的传播方式与行为特征进行了详细的分析,感兴趣的朋友访问Netlab360网络安全研究实验室的博客了解详情。