僅憑一部電腦就能夠讓電信癱瘓,讓交通堵塞、讓航空秩序崩潰、讓整個(gè)城市停電、讓銀行ATM機(jī)吐鈔，能夠影響整個(gè)城市甚至國家，神秘的黑客仿佛無所不能。然而，這似乎如同電影場(chǎng)景般的事件僅僅只是現(xiàn)實(shí)社會(huì)的一角縮影，真正的黑客攻擊遠(yuǎn)比這要復(fù)雜，每一次成功入侵的背后都有著復(fù)雜的計(jì)算過程和長(zhǎng)期的準(zhǔn)備。一個(gè)頂尖的黑客除了擁有頂尖級(jí)的技術(shù)，還懂得人心騙術(shù)，也就是所謂的社會(huì)工程學(xué)。

近日，江民赤豹安全實(shí)驗(yàn)室追蹤到，一款名為暗黑彗星（DarkComet）的木馬再次在全球范圍進(jìn)行傳播，攻擊者通過魚叉郵件、下載網(wǎng)站傳播遠(yuǎn)程控制木馬，在全球范圍內(nèi)批量抓“肉雞”以竊取用戶隱私信息、機(jī)密文件，乃至下發(fā)勒索病毒，給用戶造成巨大的網(wǎng)絡(luò)安全威脅。此次被捕獲的其中一個(gè)樣本（MD5: 41c75b13dbe7a5c8d6a3a5761b116e9d）是被改造過后的DarkComet木馬控制端程序，幕后攻擊者通過將自己打造的木馬與DarkComet控制端捆綁發(fā)布，當(dāng)其他的攻擊者使用該木馬進(jìn)行“抓雞”行動(dòng)時(shí)，該攻擊者的主機(jī)也已經(jīng)被幕后的發(fā)布者所控制，自身成了“肉雞”大軍的一員,黑客之間也玩起了“黑吃黑”的操作。

 

Darkcomet木馬是一款使用Delphi語言編寫的木馬程序，最早被發(fā)現(xiàn)于2008年，又稱“暗黑彗星”。該木馬運(yùn)行后攻擊者擁有該主機(jī)完整的控制權(quán)限，此時(shí)的用戶設(shè)備已處于不設(shè)防的高危狀態(tài)，攻擊者不僅可以竊取上傳受害者鍵盤輸入、錄音、攝像頭信息等隱私內(nèi)容，還可根據(jù)服務(wù)端遠(yuǎn)程指令執(zhí)行下載、安裝軟件、啟動(dòng)程序、運(yùn)行腳本等控制操作。同時(shí)，攻擊者還可用被控制的電腦作跳板，對(duì)其它目標(biāo)發(fā)起DDoS攻擊和下發(fā)勒索軟件。

 

江民全球惡意代碼樣本分析平臺(tái)數(shù)據(jù)顯示，近三個(gè)月來，全球有5244例DarkComet感染事件發(fā)生，波及范圍廣泛，該木馬幕后者可以完全控制，使用該木馬攻擊者和攻擊者所控制的其他“肉雞”，通過捕獲到的樣本文件中的Users遺留的數(shù)據(jù)可以看出來幕后攻擊者已經(jīng)使用該木馬控制了部分主機(jī)，分布在阿拉伯國家、西班牙、越南、立陶宛、瑞典、日本、葡萄牙、芬蘭等國家。這種污染上游供應(yīng)鏈的方式，同時(shí)也使得幕后人也實(shí)現(xiàn)了更高效的“抓雞”行為，其余使用該木馬的攻擊者都淪為了幕后人的“打工仔”，最終幕后人只需要坐收漁利就可以擁有全球大量的“肉雞”，因此也被稱為黑客版的“碟中諜”。

幕后者控制的部分主機(jī)名

幕后者使用的捆綁木馬也是DarkComet，C&C域名為fuckyoucunt.ddns.net，目前該域名已無效。這個(gè)古老的木馬深受攻擊者的青睞，盡管木馬作者于2012年已停止了對(duì)“暗黑彗星”木馬的更新，但由于其強(qiáng)大的木馬功能，至今仍有大量攻擊者使用該工具進(jìn)行網(wǎng)絡(luò)攻擊。

控制端功能界面

DarkComet在感染后會(huì)釋放木馬到：%appdata%\Microsoft\Windows\Templates\下，并設(shè)置其為系統(tǒng)隱藏屬性；隨后啟動(dòng)木馬進(jìn)程，并將木馬注冊(cè)為開機(jī)啟動(dòng)，使用PE映像切換技術(shù)將木馬隱藏于svchost進(jìn)程中，作為持續(xù)后門，一般情況下用戶很難發(fā)現(xiàn)電腦感染了該木馬。

高危預(yù)警：

感染該木馬后，遠(yuǎn)程攻擊者擁有該主機(jī)完整的控制權(quán)，主要包括：

1). 系統(tǒng)性能監(jiān)控、系統(tǒng)信息獲取、系統(tǒng)所屬地區(qū)分析；

2). 文件管理、進(jìn)程管理、注冊(cè)表管理、軟件安裝管理、遠(yuǎn)程Shell；

3). 攝像頭監(jiān)控、錄音監(jiān)控、遠(yuǎn)程桌面管理、監(jiān)控鍵盤記錄；

4). 打開端口、網(wǎng)絡(luò)共享管理、打印機(jī)管理、Socks5代理、遠(yuǎn)程下載執(zhí)行；

手工清除方法

1). 打開任務(wù)管理器，找到名為side.exe的進(jìn)程，找到進(jìn)程所對(duì)應(yīng)的應(yīng)用程序，刪除該應(yīng)用程序。找到名為svchost.exe但用戶名為當(dāng)前用戶名的應(yīng)用程序，結(jié)束該進(jìn)程；

2). 刪除注冊(cè)表項(xiàng)：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\side；

3). 刪除注冊(cè)表項(xiàng)：HKCU\Software\DC3_FEXEC。

應(yīng)對(duì)措施及建議

1). 不運(yùn)行來源不明的應(yīng)用程序，不要從不可信任站點(diǎn)下載應(yīng)用。對(duì)于已經(jīng)停止支持的軟件不從非官方渠道下載使用；

2). 安裝江民防病毒軟件，定期更新病毒庫使其能夠針對(duì)最新的變種病毒進(jìn)行查殺。

江民安全專家表示，通過偽裝或者捆綁下載是當(dāng)前互聯(lián)網(wǎng)比較常見的一種傳播惡意代碼的方式，對(duì)于非官方渠道提供的下載軟件應(yīng)當(dāng)謹(jǐn)慎使用，最好在使用之前校驗(yàn)其哈希值，特別是對(duì)于已經(jīng)停止維護(hù)的軟件更需要在使用前對(duì)其進(jìn)行安全檢查，比較方便的方式是通過殺毒軟件驗(yàn)證其安全性之后再使用，在一定程度上可以免受惡意代碼的侵害了。

詳細(xì)分析報(bào)告請(qǐng)?jiān)L問:http://www.myweblink.cn/download/DarkComet.pdf