007组织地下黑产活动深度剖析报告

发布时间：2024-10-20浏览：49

大家好，如果您还对007组织地下黑产活动深度剖析报告不太了解，没有关系，今天就由本站为大家分享007组织地下黑产活动深度剖析报告的知识，包括的问题都会给大家分析到，还望可以解决大家的问题，下面我们就开始吧！

最早可以追溯到2007年开始进行制作并传播恶意代码等互联网地下产业链活动，一直活跃至今。

制作并传播的Hook007类样本HASH数量达到17万个，相关恶意代码云查询拦截次数达到1.3亿次，相关恶意代码主要以后门和盗号程序为主。

主要针对中国用户，累计受影响用户超过千万，单就Hook007家族统计近一年被感染用户达到50万。

相关初始攻击主要依托即时通讯工具（QQYY等）采用社会工程学方法进行对特定对象进行攻击；相关攻击对象主要为网络游戏玩家等普通网民，另外对教育、金融领域有几次针对性攻击。

进一步攻击方式主要是将恶意代码伪装为图片、文档等发送给特定对象，另外是制作虚假游戏平台网站，网站提供伪装游戏平台（game456等）安装包的恶意代码。

该组织持续与安全厂商进行对抗，至少针对包括360在内的3款国内安全软件，以及卡巴斯基、比特梵德等国外相关安全产品采取过针对性技术措施，对抗行为最早可以追溯到2008年。对抗手段从实体文件到通信协议进行相关对抗，主要针对本地静态扫描、云查杀、主动防御策略和网络层等环节的检测。另外值得注意的是该组织成员会主动将恶意代码上报给安全厂商，目的是申请将恶意程序添加白名单或者探测安全厂商检测机制。单就Hook007这个家族，我们对相关产品进行了多次升级或检测策略调整。

该组织相关成员分工明确，从制作恶意代码到最终获利组成了一条完整的地下产业链。主要包含制作恶意代码、传播、更新、获利等环节。

目录第一章若干年的地下产业链活动 1

一、关于007组织的产业链 1

二、影响范围最大的地下产业链 2

三、攻击目标 2

四、攻击时间（变化趋势） 3

五、牟利 3

六、用户反馈 5

第二章攻击手法分析 8

一、典型攻击流程 8

二、恶意代码传播 9

三、持续对抗 12

四、制作和更新 16

第三章该组织使用的C&C 22

一、C&C分类（基于功能） 22

二、依托第三方平台中转 22

第四章幕后始作俑者 24

附录1 HOOK007家族样本分析报告 25

附录2 007组织涉案金额估算 25

附录3 C&C 26

附录4 MD5值 27

0x01 第一章存在若干年的地下产业链活动

一、关于007组织的产业链我们从2011年开始发现Hook007家族恶意代码，通过我们的持续监控和分析，幕后庞大的黑客组织逐渐浮出水面，我们将该组织命名007组织。该组织最早从2007年开始进行制作并传播恶意代码，窃取用户数据、虚拟财产等互联网地下产业链活动，一直活跃至今。这是我们目前捕获到的影响范围最大，持续时间最长的地下产业链活动。以007组织为主的地下产业链主要涉及商品是技术服务和恶意代码，该组织的核心商品是Hook007远程控制恶意代码，进一步主要包含制作恶意代码、传播、更新、获利等环节。Hook007远程控制是该组织独立开发并进行持续的更新维护。007组织具备严密完整的组织结构，其中核心成员主要为开发和一级代理销售，目前我们能明确掌握的是通过恶意代码这种商品的交易是该组织牟利的主要手段之一。相关恶意代码传播到最终通过窃取用户数据进行牟利这一环节我们可以确定是该地下产业链的一部分。

图1消费者与生产者基本关系

007组织涉及的地下产业链中主要还是充当卖家（生产者）的角色。从下图商品分类中，可以看出007组织涉及的商品主要为恶意代码（远控、免杀等工具）和提供相关技术服务。另外该地下产业链中其他环节会包括数据信息、权限、漏洞等商品，但不是007组织主要涉及的商品类型。

图2地下产业经济链体系中商品分类

二、影响范围最大的地下产业链 007组织相关攻击活动最早可以追溯到2007年，从2011年开始非常活跃。制作并传播的Hook007类样本HASH数量达到17万个，变种数量达到66种，相关恶意代码传播达到1.3亿次。另外我们近三个月捕获到该家族的免杀器版本已超过上百个，购买用户超过600个。该组织的相关攻击活动主要针对中国用户，累计受感染用户超过千万，单就Hook007家族统计近一年被感染用户达到50万。该组织在攻击成功后会通过远程控制强行阻止用户操作游戏，并直接将用户的虚假财产、游戏装备进行交易转给盗号者帐号。另外该组织一直与安全厂商进行持续的对抗，从静态查杀、动态检测到网络不同层面进行躲避和对抗。这是我们历年来捕获到的影响范围最大，持续时间最长的地下产业链活动。三、攻击目标通过我们的研究分析可以得出，007组织主要针对中国地区的用户，其中主要关注网络游戏玩家等普通网民。另外对教育、金融领域有几次针对性攻击：相关恶意代码原始文件名

2015证券数据-验证.exe

2015年注册化工工程师-验证.exe

2015年重庆市社会工作员职业水平考试.exe

2015年执业医师(临床).exe

2015年山东地区第三季度会计从业.exe

2015江苏第四季会计从业-部分验证.exe

2015cpa注册会计师数据-验证.exe

15年造价工程师-验证.exe

15贵州会计从业数据.exe

15高级职称考生报名.exe

表1相关恶意代码原始文件名相关统计项

具体内容

开始时间

2014年10月10日

结束时间

2015年10月10日

被感染用户数量

500559个

恶意代码数量

161581个

表2 Hook007家族感染情况统计

图3近一年受Hook007家族影响的用户数量

四、攻击时间（变化趋势）

图4恶意代码更新记录

图5007组织相关恶意代码报价单（更新时间为2010年7月）

我们近三个月捕获到该家族的免杀器版本已超过上百个，购买用户超过600个。下图是购买相关恶意程序的地下产业链成员的分布情况，可以看出以广东省最多，其次是河南和山东省。

图6购买Hook007远控的地下产业链成员分布（最近三个月数据）

（二）窃取用户数据 Hook007远程控制主要功能就是攻击者可以完全控制受害者的机器，攻击者可以下发任意控制指令。从我们收到的大量被感染Hook007木马的用户反馈中可以得知，该组织在攻击成功后通常会通过远程控制强行阻止用户操作游戏，并直接将用户的虚假财产、游戏装备进行交易转给盗号者帐号。也就是主要以窃取用户虚拟货币、网游装备来进行牟利。通过窃取用户数据和虚拟财产，造成每年普通网民财产损失逾千万元。

（三）其他 DDOS：该组织成员有开发如“毁灭者DDOS”等DDOS工具，由此我们怀疑除了工具的开发，相应地下产业链可能有涉及相关DDOS攻击业务。恶意推广：通过我们监控发现，该组织在控制受害者主机之后，可能会远程控制下载执行推广包，通过安装量来达到牟利的目的。

六、用户反馈我们从第三方平台和360论坛等平台收到大量用户反馈，相关反馈主要集中在已经造成用户财产损失的用户求助信息。以下是一些典型用户反馈的截图和链接：

参考链接：http://china.findlaw.cn/ask/question_1720116.html

参考链接：http://bbs.open.qq.com/thread-7593006-1-1.html

参考链接：http://bbs.360safe.com/thread-3943057-1-1.html

参考链接：http://bbs.360safe.com/thread-6119441-1-1.html0x02 攻击手法分析

一、典型攻击流程（一）基于即时通讯工具

图11典型攻击流程（基于即时聊天工具）

（二）基于假冒网站

图12典型攻击流程（基于假冒网站）

二、恶意代码传播恶意代码的传播方法主要集中在依托即时通讯工具和网站。其中以依托即时通讯工具这种方式占主流。

（一）即时通讯工具攻击者主要依托即时通讯工具进行恶意代码传播，从目前捕获到的情况主要分为直接发送PE可执行程序，另一种是QQ群共享。该方法针对性强，但也容易被受害者感知到。

图13通过QQ传播的文件形态示例

图14通过YY传播的文件形态示例

由于Windows系统默认是不开启显示后缀和隐藏文件的。所以受害者们接收到这些文件压缩包解压后，发现木马文件里面只含有“BMP格式”的图片（实则是指向病毒程序的快捷方式），而真正含有恶意代码的文件则被隐藏起来

（二）网站

1)假冒游戏平台网站攻击者会搭建虚假的游戏平台，并通过搜索引擎、弹窗等手段推广。假冒的游戏平台网站与官方网站外观一致，受害者很难分辨真伪。攻击者会将虚假的恶意安装包放置到假冒的网站上，当用户访问网站下载并执行相应虚假安装包则会被攻击者控制。下图是我们在某知名搜索引擎上搜索凤凰山庄的搜索结果。可以看到，第一页的两条推广结果为假冒的网站。

图15“凤凰山庄”搜索结果

图16假冒凤凰山庄网站（左），凤凰山庄官网（右）

图假冒凤凰山庄和官网的对比截图，我们可以看出除了网址不同，其他页面外观均一致。很难分辨真伪。攻击者不是单一选择一款游戏平台进行假冒伪装。我们可以从下表看出，攻击者假冒了很多游戏平台。具体参看下表：假冒游戏平台名称

虚假恶意网站

备注说明

199游戏

235游戏中心

game235.top

883XX游戏中心

game88369.com.cn

www.game88369.gyemw.com

www.game88369.zxshy.com

www.game88369.nmqzx.com

www.game88369.yjfjn.cn

该系列其他名称还有

www.ycttcy.net

88370-88381，总共12个

K7豫游游戏中心

qipai007.aliapp.com

凤凰游戏山庄

fhgame.sdforging.com.cn

tlwt1258.cn

vikodrive.cn

fhgame.sdforging.com.cn

汉游天下安装包

shlvxun.gamr89.com

集结号游戏中心

www.jjhggame.com

建德游戏

www.byjd571.net

宁波游戏大厅

www.nbgame.org

四川游戏家园

28qp.com.tw

天妃游戏

网狐游戏家园

foxuc.com.cn

foxuc.com.tw

襄阳同城游戏

0710yx.aliapp.com

www.hnzcs.com

0710yx.xmwwy.com

cng.minsun.cc

07l0yx.co

07l0.gamr89.com

0710yx.yksyx.org

0710yx.asia

云海游戏

yunhai78.07l0yx.co

众安棋牌89游戏中心

fjtu123.gamr89.com

www.ftqp888.com

表3假冒游戏平台网站列表

2)官方网站安装包被替换我们捕获到从某些游戏平台官方网站下载的安装包被替换为包含恶意代码的虚假游戏平台安装包。进一步我们分析官方可信网站存在恶意虚假安装包这种情况，可能由以下两种情况导致：第一、相关官方可信网站被攻陷，正常安装包被攻击者替换；第二、官方可信网站的相关工作人员可能刻意替换放置恶意虚假安装包。从我们的分析来看，更倾向于第一种情况。下面是凤凰游戏山庄网站存在恶意虚假安装包的情况：凤凰游戏山庄官方网站

时间 | 2015-09-15 19:03:20

父页面 | http://game.fhgame.com/download.html

下载URL | http://down.fhgame.com/fhgame/FHGameLobby/FHGameLobby.exe

恶意文件MD5 | ef749aecd9a292cd0c6873840d6f9115

表4被替换恶意虚假安装包具体信息

三、持续对抗该组织持续与安全厂商进行对抗，至少针对包括360在内的3款国内安全软件，以及卡巴斯基、比特梵德等国外相关安全产品采取过针对性技术措施，对抗行为最早可以追溯到2008年。对抗手段从实体文件到通信协议进行相关对抗，主要针对本地静态扫描、云查杀、主动防御策略和网络层等环节的检测。另外值得注意的是该组织成员会主动联系安全厂商，目的是申请将恶意程序添加白名单或者探测安全厂商检测机制。单就Hook007这个家族，我们对相关产品进行了多次升级或检测策略调整。以下将从静态查杀、动态检测、网络监控和探测厂商检测，这四个方面逐一展开相关对抗手法的介绍

（一）静态查杀

图17静态查杀对抗相关发展变化趋势

（二）动态检测

1）使用特殊浮点指令bypass虚拟机查杀

2）LDTDetect：检测LDT基址位于0x0000时为真实主机，否则为虚拟机

3）GDTDetect：检测GDT基址位于0xFFXXXXXX时说明处于虚拟机中，否则为真实主机

4）VMwareDetect：检测VMware特权指令来检测虚拟机

5）起初是自启动，之后进一步更新为一次性

6）逐渐阉割Gh0st后门敏感功能

（三）网络监控

1）使用3322上线->其他动态域名->顶级域名->直接ip->微博，网盘中转

2）Gh0st上线协议->修改协议头->逐渐修改成无特征协议

（四）探测安全厂商检测机制为了木马能更有效的避免安全厂商检测，该组织成员有主动提交相关样本，来探测安全厂商检测机制的活动。攻击者探测的方式主要通过给安全厂商样本上报邮箱发送邮件和通过安全厂商官方论坛反馈问题和样本。下图是攻击者给比特梵德、卡巴斯基和360安全厂商发送的探测邮件截图。

图19攻击者探测（通过邮件1）

图20攻击者探测（通过邮件2）

被探测的厂商

相关被探测的邮箱地址

比特梵德

sample sample@bitdefender-cn.com

卡巴斯基

newvirusnewvirus@kaspersky.com

opensoft opensoft@360.cn

表5被探测相关安全厂商列表下面两张图片是该组织在2013年12月和2015年9月分别提交的两个贴，均提交到360论坛问题反馈子板块。

图21攻击者探测（通过论坛反馈1）

参考链接：http://bbs.360safe.com/thread-3248178-1-1.html

图22攻击者探测（通过论坛反馈2）

参考链接：http://bbs.360safe.com/thread-6202909-1-1.html

四、制作和更新 007组织在开发的恶意代码工具种类比较多，其中以给力远程控制工具和给力免杀器为主。而相关更新维护则主要是针对Hook007家族进行相关更新。

（一）007相关恶意软件

图23Hook007相关恶意软件种类

图24 remote007工具截图

图25大牛B下载者生成器截图

图26阿凡提远程控制软件截图

图27毁灭者DDOS界面

图28相关捆绑工具截图

图29给力远程协助工具

图30给力远程协助工具登录验证工具

图31给力免杀器

（三）Hook007远程控制迭代更新该组织制作的恶意代码主要以伪装图片或文档，虚假安装包这两种形态，这两种最终后门程序均为Hook007家族，是基于Gh0st进行修改的版本。

图32恶意代码更新记录

Hook007家族主要更新变化趋势

2012 年之前，Hook007家族，还是原始版本的Gh0st远控，启动参数带有Hook007，fuck360，fuck007等，通过不同的启动参数，决定木马执行安装流程还是远控流程。

2012年中旬，基于开源远控协议，大约每两三天发一批新域名的木马。IP由域名解析得到。

2012年底，基于开源协议进行小幅度变种。大约每两三天发一批新域名的木马。IP由域名解析得到。

2013年中旬，基于开源协议进行大幅度变种，需通过大数据分析捕获协议特征。大约每天发一到两批新域名的木马。IP由域名解析得到。

2013年中下旬，基于开源协议，针对360监控模式，加入混淆数据，大约每天发三到四批新域名的木马，IP由域名解析得到。

2014年初，基于开源协议加入迷惑性数据，伪造成其他常见数据协议，难与主流协议区分。无新域名，采用直接访问IP，大约每天发七到八批新IP的木马。

2014年中旬，网络协议为自定义协议，同时伪造成其他常见数据协议，通过第三方平台网站的自定义内容跳转到制定IP，大约每天发六到七批新木马。

2015年初，网络协议为自定义协议，直接请求IP，如果无法上线，再通过第三方平台网站的自定义页面查找新IP，约每半小时一批新IP木马。

2015年中下旬，更新自定义协议，直接请求IP，如果无法上线，再通过第三方平台网站的自定义页面查找新IP，约每半小时一批新IP、新协议木马。

0x03 该组织使用的C&C

一、C&C分类（基于功能）该组织出现使用的C&C（Command and control，通信控制）非常多，相关域名、IP也是分工明确。我们大概从C&C功能的角度分析出相关C&C的种类：

直接连IP

连攻击者所持有的域名，进一步解析域名指向IP

连接腾讯微博，解析页面中IP

连接永硕E盘，解析页面中IP

验证或更新的IP：专用于后门更新的服务器。

伪造游戏平台网站的域名和IP

另外在本报告“第二章攻击手法分析”中“三、持续对抗”章节，我们已经介绍了攻击者在网络层面是如何进行持续对抗的，也就是下图可以看出攻击者在选择C&C的变化趋势。

图33恶意代码与服务器通信变化趋势

二、依托第三方平台中转下面两个图是永硕E盘和腾讯微博获得上线IP的具体截图：

图34利用永硕E盘获得上线IP

图35利用腾讯微博获得上线IP

下面两个截图是攻击者用来解析腾讯微博上线IP地址的工具，和该工具相关代码截图。

图36解析微博、网盘工具

图37微博IP查询器相关代码截图

0x04 幕后始作俑者

007组织相关成员分工明确，从制作恶意代码到最终获利组成了一条完整的地下产业链。主要包含制作恶意代码、传播、更新、获利等环节。从目前我们已知的数据来看，该组织相关成员主要分布在湖北、山东和广东三个地区。

图38 007组织架构

007组织主要以Hook007（嫌疑人01）为主，Hook007和另一名嫌疑人02是主要开发人员，开发的恶意软件以Hook007远控（给力远控）为主。另外Hook007与黑友（又名黑色经济，嫌疑人08）在早期就有相关业务合作，黑友的角色与广东熊二（嫌疑人06）相似。相关更新维护工作主要围绕Hook007远控展开。以Hook007远控为主的恶意软件会提供给山东相关同伙和广东同伙，其中以广东的熊二为主。以广东熊二为例，熊二作为代理商的角色会将相关远控工具在提供给其他下级买家。进一步后续会有专人负责传播恶意代码和相关窃取用户数据、恶意推广。由于相关传播过程需要社会工程学欺骗受害者，以及需要与受害者多次交互，所以我们推测相关传播恶意代码的人员和窃取用户数据的人员会有重叠的情况。最后相关人员将窃取的数据信息通过第三方网络游戏交易平台或其他渠道进行交易，最终达到获利。另外值得我们注意的是广东相关同伙的上家除了Hook007，还有其他组织提供大量的恶意程序。另外山东同伙涉及Android木马（以短信拦截马为主）的相关业务。

0x05 附录

附录1 Hook007家族样本分析报告具体请参看：

“罪恶家族——Hook007木马”，http://blogs.360.cn/blog/Hook007_trojan/

“罪恶家族Hook007之潜伏篇”，http://blogs.360.cn/blog/hoook007/

附录2 007组织涉案金额估算007组织核心成员涉案金额

（单对Hook007生成器估算）

估算方法

单价：300元

生成器数量（三个月）：120个

拥有生成器的人数：1个生成器对应10个人

结论

一年估算：300*120*10*4=144万元

受害用户损失金额

（单对受Hook007家族影响的估算）

估算方法

近一年受影响用户约：50万左右

真正被窃取装备的用户估算为受影响的1/100：5000

根据专业反诈骗平台猎网平台的统计数字显示，因游戏帐号被盗而导致的用户损失人均为：2338元

结论

一年估算：5000*2338=1169万元

附录3 C&C 涉及到的部分域名和IP：

0710yx.aliapp.com0710yx.asia0710yx.xmwwy.com0710yx.yksyx.org07l0.gamr89.com07l0yx.co106.111.140.16106.226.228.105106.80.54.138106.80.56.59111.195.244.2014.119.236.21214.119.237.10314.119.239.17414.119.241.1654004572.ys168.com983830035.ys168.coma594250576.ys168.coma6601251.ys168.combobo.haoyue1688.comccl0579.comcng.minsun.ccdioeopp.orgewq889966.ys168.comt.qq.com/a_739377521t.qq.com/a1005561469t.qq.com/a1156573029t.qq.com/a125245585t.qq.com/a12d132t.qq.com/a136410138

附录4 MD5值部分恶意代码的MD5值：

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