地下黑客市场入口，黑客组织revil

0x00概述其起源可以追溯到2007年，当时它开始在互联网上制造和传播恶意代码等地下产业链活动，并持续活跃至今。 Hook007创建并分发的样本哈希数量已达到17万个，相关恶意代码云的查询和拦截数量已达到1.3亿次，相关恶意代码主要包括后门和盗号程序。它主要针对中国用户，累计感染用户超过1000万，仅Hook007家族的统计，过去一年的感染用户就达到了50万。相关初始攻击主要依靠即时通讯工具（如QQYY），利用社会工程技术对特定目标进行攻击。相关攻击目标主要是网络游戏玩家等普通网民，也有一些针对教育、金融等领域的针对性攻击。他们还向特定目标发送伪装成图像或文档的恶意代码，或者创建虚假游戏平台网站，提供伪装成游戏平台安装包（例如game456）的恶意代码，这还包括诸如此类的攻击该组织持续与安全厂商对抗，针对包括360在内的至少三款国产安全软件以及卡巴斯基实验室、Bitdefender等国外相关安全产品采取针对性的技术措施，与该组织的冲突可以追溯到2008年。反制措施范围从物理文件到通信协议来执行相关反制措施，主要针对本地静态扫描、云扫描、主动防御策略、网络层等检测方面。该组织成员还计划主动向安全厂商举报恶意代码，以要求将恶意程序加入白名单，并检测安全厂商的检测机制，这一点也值得注意。仅Hook007家族就经历了相关产品的多次升级和检测策略的调整。该组织主要通过窃取用户数据、互联网资源和滥用其服务来赚钱。据估计，仅靠一种遥控器Hook007，作者每年就至少能赚到100 万美元。此外，普通互联网用户每年因用户数据和虚拟资产被盗而损失的资产超过1000万元。地下产业链“Hook007”利润总额突破1亿。该组织关联成员分工明确，形成了从恶意代码创作到底线的完整地下产业链。这主要涉及创建、传播、更新恶意代码和将其货币化的步骤。目录第一章：历年地下产业链活动1 1. 关于007组织的产业链1 2. 影响最大的地下产业链2 3. 攻击目标2 4. 攻击时机（变化趋势）3 5. 利润产生3 6、用户反馈5 第二章攻击技术分析8 1. 典型攻击流程8 2. 传播恶意代码9 3. 持续冲突12 4. 创建和更新16 第3 章组织使用的CC 22 1 CC的分类（2.依赖第三方平台进行转移22第四章幕后发起者24附录1HOOK007家族样本分析报告25附录2007参与机构金额估算25附录3CC26附录4MD5值270x01章1 已存在数年的地下产业连锁活动1. 关于007组织的产业链我们在2011年发现了Hook007家族恶意代码，渐渐地，该组织的阴暗面浮现出来，我们将其命名为007组织。该组织最早从2007年开始编写和传播恶意代码，窃取用户数据、虚拟资产等。007的互联网地下产业链活动开始，并持续运作至今，这是影响力最大、寿命最长的地下产业链控制性地下产业链主要涉及技术服务和恶意代码，该组织的核心产品是Hook007远程控制恶意代码，同时主要从事以下内容的创作、传播和传播：恶意代码。内含更新、福利等链接。Hook007远程控制由机构自主研发，并持续更新维护。

007 虽然该组织有着严格完整的组织架构，核心成员以开发者和一级经销商为主，但目前来看，恶意代码交易是该组织的主要组成部分，是手段之一。利润。如果关联恶意代码传播到最终被用来窃取用户数据牟利，则可以确认关联恶意代码属于地下产业链。

图1 消费者和生产者的基本关系

在007组织相关的地下产业链中，他主要扮演的是销售者（生产者）的角色。下图中的产品分类显示，007组织涉及的产品主要是恶意代码（遥控器、杀毒工具等）并提供相关技术服务。此外，地下产业链的其他环节还包括数据信息、权限、漏洞等产品，但这并不是007组织主要涉及的产品类型。

图2 地下产业经济链系统产品分类

2、影响最大的地下产业链007组织的攻击事件可以追溯到2007年，2011年以来一直非常活跃。 Hook007样本哈希创建和分发数量达到17万个，变种数量达到66个，相关恶意代码分发1.3亿次。而且，在过去的三个月里，我们已经捕获了该家族的数百个反杀手版本，并有超过600名用户购买了它们。该组织的相关攻击活动主要针对中国用户，累计感染用户数超过1000万，仅Hook007家族的统计数据，过去一年的感染用户数就已达到50万。如果攻击成功，该组织将强行阻止用户远程操作游戏，并将用户的虚假资产和游戏装备直接转移到黑客账户中。此外，该组织一直与安全供应商发生持续的冲突，从静态查杀和动态检测到网络各个级别的规避和对抗。这是我们多年来所知影响最大、持续时间最长的地下产业链活动。三、攻击目标通过研究分析，007组织主要针对中国境内用户，以网络游戏玩家等普通网民为主。此外，教育和金融领域还发生了多起针对性攻击。相关恶意代码的原始文件名

2015证券数据-Verify.exe

2015年化学工程师注册-验证.exe

2015年重庆市社会工作者专业水平考试.exe

2015从业者（临床）.exe

2015年第三季度山东省会计实务.exe

2015年江苏省第四季度会计实务-部分验证.exe

2015cpa CPA数据验证.exe

15年经验造价工程师-verification.exe

15 贵州会计实务数据.exe

15名高级职称候选人报名.exe

表1 恶意代码原始文件名统计项

细节

开始时间

2014 年10 月10 日

结束时间

2015 年10 月10 日

受感染用户数量

500559

恶意代码数量

161581

表2 Hook007家族感染统计

图3 过去一年受Hook007家族影响的用户数

4. 起音时间（趋势变化）

图4 恶意代码更新记录

上图记录了Hook007家族的变化趋势。每个时间点都标志着Hook007 系列的新变种，或者相关攻击技术或资源的重大变化。与007组织相关的攻击活动可以追溯到2007年，Hook007家族于2011年开始产生广泛影响。可以看到Hook007版本在2014年到2015年间更新迭代非常频繁。 5.商业活动(1)恶意代码创建、更新和维护恶意代码是007组织的核心业务。进一步相关的类型主要是木马生成器、杀毒软件和一些定制木马。作者每年从Hook007（一个远程控制恶意软件程序）中赚取超过100 万美元。下图是我们截获的与该组织相关的恶意程序的引用。图5007 组织相关恶意代码引用（2010年7月更新） 在过去的三个月里，我们捕获了该家族防病毒软件的数百个版本，并有超过600个用户购买了它们。下图为购买相关恶意软件的地下产业链成员分布情况，其中广东数量最多，其次是河南和山东。图6 购买Hook007遥控器的地下产业链成员分布（近3个月数据） （2）窃取用户数据Hook007遥控器的主要功能是让攻击者能够完全控制受害者的机器。是。任何控制指令。从大量感染Hook007木马的用户反馈来看，攻击成功后，组织通常会强行禁止用户远程操作游戏，并清除用户的假物品和游戏设备，已知是直接转移。帐户被盗。这意味着他们主要通过窃取用户的虚拟货币和在线游戏设备来赚钱。通过窃取用户数据和虚拟资产，普通互联网用户每年损失的资产超过1000万元。 （3）其他DDOS：该组织成员开发“毁灭者DDOS”等DDOS工具，因此除了工具开发之外，相关地下产业链还涉及相关DDOS攻击业务，认为可能存在。恶意促销：通过监控，我们观察到组织控制受害主机后，可以远程下载并执行促销包，有可能通过安装量获利。 6、用户反馈我们收到了大量来自第三方平台以及360论坛等平台的用户反馈，主要集中于给用户造成经济损失的用户帮助信息。以下是一些屏幕截图和典型用户反馈的链接。

参考链接：http://china.findlaw.cn/ask/question_1720116.html

参考链接：http://bbs.open.qq.com/thread-7593006-1-1.html

参考链接：http://bbs.360safe.com/thread-3943057-1-1.html

参考链接：http://bbs.360safe.com/thread-6119441-1-1.html0x02 攻击方式分析1、典型攻击流程（1）利用即时通讯工具进行攻击图11 典型攻击流程（利用即时通讯工具） 具体攻击步骤： a. 攻击者首先利用游戏平台发送“说教”或内部消息，以出售、获取、交换游戏装备为借口发送虚假消息，并留下QQ号，我就是这么做的。 b. 如果受害者在不知情的情况下得知攻击者通过游戏平台发送的消息，可能会添加攻击者的联系方式并主动联系攻击者。 c. 攻击者通过QQ等即时通讯工具进一步获取受害者的信任。 d.攻击者一旦获得受害者一定程度的信任，就将伪装成“设备镜像”的木马文件发送给受害者，受害者接收并执行时，就嵌入了相关的后门木马并被攻击者控制。 e. 远程控制玩家的电脑，锁定电脑的键盘和鼠标，或者将屏幕设置为黑色。并且在短时间内，玩家的游戏装备和金币就被转移到了黑客的账户上。 （2）基于假冒网站的典型攻击流程图12（基于假冒网站） 具体攻击步骤： a. 攻击者首先使用假冒网站（这里主要是假冒的游戏平台网站如game456），同时创建相应的假冒恶意安装包裹。程序。最终，假冒网站上的下载链接将指向假冒的安装包程序。 b. 此外，攻击者还需要诱骗受影响的用户访问虚假网站，主要通过基于搜索引擎和即时消息工具的平台。攻击者使用付费促销和其他方法来确保在搜索特定关键字时，相关虚假网站会优先出现在搜索结果中。 c.如果受害者通过搜索引擎搜索假冒网站链接或收到聊天工具的链接并点击打开假冒网站，则可能会下载相应的假冒安装程序。由于假冒网站的外观与正规官方网站基本相同，用户很难辨别其真假。另外，也没有明确标明相关游戏平台的官网或安装包的提供者是否为官方来源，导致用户难以辨别哪些是值得信赖的，哪些是恶意的。搜索结果。 d. 一旦受害者下载并运行假冒安装包，操作系统就被攻击者控制。 e. 远程控制玩家的电脑，锁定电脑的键盘和鼠标，或者将屏幕设置为黑色。并且在短时间内，玩家的游戏装备和金币就被转移到了黑客的账户上。注：以上为主流攻击流程，不详述一些非主流攻击流程。示例包括电子邮件附件传播、使用特洛伊木马传播和其他传播方法、DDOS 攻击以及在受害者主机上下载和运行促销包等收入模式。 2. 恶意代码的传播恶意代码的传播主要依靠即时通讯工具和网站。其中，依托即时通讯工具已成为主流。

（1）即时通讯工具攻击者主要利用即时通讯工具传播恶意代码，但从目前的情况来看，我们认为他们主要是直接发送PE可执行程序，分为QQ群共享的。这种方法虽然针对性很强，但也很容易被受害者察觉。图13 通过QQ 提取的文件格式示例图14 通过YY 扩展的文件格式示例Windows 系统默认不启用后缀和隐藏文件显示。因此，当受害者收到这些文件的压缩文件并解压后，木马文件中只包含一张“BMP格式”的图片（实际上是病毒程序的快捷方式），实际上是恶意的。与被隐藏。 1）假冒游戏平台网站攻击者搭建假冒游戏平台，并通过搜索引擎、弹窗等方式进行推广。假冒游戏平台网站的外观与官方网站相同，使受害者很难区分真假网站。攻击者将伪造的恶意安装包放置在假冒网站上，当用户访问该网站时，该网站就会被攻击者控制，并下载并运行相应的假冒安装包。下图为凤凰别墅在热门搜索引擎上的搜索结果。可以看到，首页的两个推广结果都是假网站。图15 “凤凰山庄”搜索结果图16 假凤凰山庄网站（左）、凤凰山庄官网（右） 假凤凰山庄与官网截图对比。可以看到，除了URL不同之外，其他页面都是一样的。具有相同的外观。很难区分真实的东西和真实的东西。攻击者不会选择一个单一的游戏平台来冒充。从下表中可以看出，攻击者冒充了许多游戏平台。请参阅下表了解更多信息。虚假游戏平台名称

虚假恶意网站

操作说明

199 场比赛

235游戏中心

游戏235.顶部

883XX游戏中心

game88369.com.cn

www.game88369.gyemw.com

www.game88369.zxshy.com

www.game88369.nmqzx.com

www.game88369.yjfjn.cn

该系列中的其他名称包括：

ycttcy网

88370-88381，共12件

K7悠悠游戏中心

qipai007.aliapp.com

凤凰游戏山庄

fhgame.sdforging.com.cn

TLWT1258.cn

维科驱动网

fhgame.sdforging.com.cn

瀚游天下安装包

shlvxun.gamr89.com

组装游戏中心

www.jjhggame.com

和游戏

byjd571网

宁波游戏厅

www.nbgame.org

四川运动会主场

28qp.com.tw

腾飞游戏

Netfox 游戏主页

福克斯网

福克斯网台湾

襄阳市运动会

0710yx.aliapp.com

www.hnzcs.com

0710yx.xmwwy.com

明太阳网

07l0yx.co

07l0.gamr89.com

0710yx.yksyx.org

0710yx.亚洲

云海游戏

云海78.07l0yx.co

中安棋牌89游戏中心

fjtu123.gamr89.com

ftqp888.com

表3 假冒游戏平台网站列表2）官网安装包替换部分游戏平台官网下载的安装包被替换为含有恶意代码的假冒游戏平台安装包，事实证明确实如此。此外，我们分析官方和可信网站上存在恶意和假冒安装包可能是由以下两种情况引起的：第一，官方和可信网站上存在恶意和假冒安装包可能是由以下两种情况引起的：一是网站可能被攻破，正常的安装包被攻击者替换，二是官方、受信任的网站可能被相关人员故意用恶意、假冒的安装包替换、放置。我们的分析表明我们倾向于第一种情况。以下为凤凰游戏山庄网站存在恶意假冒安装包的情况： 凤凰游戏山庄官网

时间| 2015-09-15 19:03:20

父页面| http://game.fhgame.com/download.html

下载地址| http://down.fhgame.com/fhgame/FHGameLobby/FHGameLobby.exe

恶意文件MD5 | ef749aecd9a292cd0c6873840d6f9115

表4. 被替换的恶意假冒安装包的具体信息3. 持续冲突该组织持续与安全厂商展开对抗，其中包括360、卡巴斯基等至少3 款国产安全软件，我们正在对Bitdefender 和Bitdefender 等涉外安全产品采取行动。比特卫士。有针对性的技术措施和对抗行动可以追溯到2008年。反制措施范围从物理文件到通信协议来执行相关反制措施，主要针对本地静态扫描、云扫描、主动防御策略、网络层等检测方面。另外值得注意的是，该组织成员主动联系安全厂商，要求将恶意程序加入白名单，并检测安全厂商的检测机制。仅Hook007家族就经历了相关产品的多次升级和检测策略的调整。这里我们从静态去除、动态检测、网络监控、检测厂商检测四个方面介绍相关对策。

（1）静态查杀图17：静态查杀对策相关发展趋势从上图可以看出，静态查杀对策包括将字符串从明文更新为加密字符串，最后将字符串更新为无字符串，可以清楚地看到Hook007的开发流程。这是一个特点。最初的Hook007家族被暴风白利用，后来扩展到其他厂商（如迅雷）的白文件利用。所谓“白利用”，就是利用通常来自合法厂商的常规程序作为掩护，利用这些程序决策逻辑中的一些缺陷，创建木马作者提供的恶意程序，加载一些代码来进行攻击。避免被发现和杀死。取决于安全软件。最近，该木马家族利用微软的rundll32.exe文件来执行包含恶意代码的DLL文件。 (2)动态检测1)使用特殊浮点指令绕过虚拟机终止。 2) LDTDetect：如果LDT基地址为0x0000，则检测到它是真实主机。否则就是虚拟机。 3）GDTDetect：GDT基地址为0xFFXXXXXX，表示是虚拟机机器，否则是真实主机4）VMwareDetect：检测用于检测虚拟机的VMware特权指令5）首先自动启动，然后进一步一次性更新6） Gh0st后门敏感特征逐步阉割(3) 网络监控1) 使用3322上线- 其他动态域名- 顶级域名- 直连IP - 微博、网盘传输2）Gh0st上线协议- 更改协议头- 逐渐更改为非功能性协议。 （4）检测安全厂商检测机制，更有效地防范来自安全厂商的木马。出于检测目的，该组织的成员主动提交相关样本以检测安全供应商检测机制的活动。检测攻击者的主要方法包括向安全厂商的样本报告电子邮件地址发送电子邮件，以及通过安全厂商的官方论坛提出问题并提供样本反馈。下图是攻击者发送给Bitdefender、卡巴斯基、360安全厂商的检测邮件截图。图19 攻击者检测（通过电子邮件1） 图20 攻击者检测（通过电子邮件2） 检测到的供应商

检测到的相关电子邮件地址

位防守者

样本sample@bitdefender-cn.com

卡巴斯基

newvirusnewvirus@kaspersky.com

360

开放软件opensoft@360.cn

表5 检测到的安全厂商列表下面两张照片是组织在2013年12月和2015年9月提交的两篇帖子，均提交到360论坛的问题反馈版块。图21 攻击者检测（论坛反馈1） 参考链接：http://bbs.360safe.com/thread-3248178-1-1.html 图22 攻击者检测（论坛反馈2） 参考链接：http://bbs.360safe.com/thread -6202909-1-1.html 4.创建和更新007 组织开发了不同类型的恶意代码工具，主要有给力远程控制工具和给力防病毒工具。相关更新和维护主要与Hook007家族相关。

2、依靠第三方平台转移下面两张图是永硕E盘和腾讯微博获取在线IP的具体截图。

图34 使用永硕E盘获取在线IP

图35 使用腾讯微博获取在线IP

以下两张截图是攻击者用来解析腾讯微博IP地址的工具以及与该工具相关的代码。

图36 微博、网盘工具分析

图37 微博IP查询代码相关代码截图

0x04 幕后始作俑者，007组织的参与者分工明确，形成了从恶意代码创作到底线的完整地下产业链。这主要涉及创建、传播、更新恶意代码和将其货币化的步骤。从目前掌握的资料来看，该组织的关联成员主要分布在湖北、山东、广东等省份。

图38 007组织架构

007组织以Hook007（嫌疑人01）为中心，Hook007和另一名嫌疑人02是主要开发者，开发的恶意软件主要是Hook007远程控制（给力远程控制）。此外，Hook007前期还与一名黑友（俗称地下经济，嫌疑人08）合作进行相关操作，而该黑友的角色与广东的熊二（嫌疑人06）类似。相关更新和维护工作主要集中在Hook007遥控器上。 Hook007基于远程控制的恶意软件分布在山东省和广东省的攻击者中，其中广东的“熊二”是主要的恶意软件。以广东省熊二为例，熊二作为代理，向其他下层买家提供相关远程控制工具。进一步的后续行动将包括专门人员负责传播恶意代码、窃取与之相关的用户数据以及恶意宣传。相关的传播过程需要社会工程来欺骗受害者，并需要与受害者进行多次交互，从而在传播恶意代码和窃取用户数据之间产生了差距，假设存在一定的重叠。最终，当事人将被盗的数据信息通过第三方网络游戏交易平台等渠道进行交易，最终获利。值得注意的是，除了Hook007之外，广东还有其他组织向相关同伙提供大量恶意程序。此外，山东同谋还涉足Android木马（主要是短信拦截）相关业务。

0x05 附录附录1 Hook007 系列样本分析报告欲了解更多信息，请参见下文。

《犯罪家族——Hook007木马》，http://blogs.360.cn/blog/Hook007_trojan/《犯罪家族Hook007潜力篇》，http://blogs.360.cn/blog/hook007/附录2 估算007组织案件涉案金额

（单对Hook007发电机估算）

估算方法

单价：300元

发电机数量（3个月）：120

发电机拥有者数量：每10人1台

结论是

1年预估：300*120*10*4=144万元

受害人损失金额

（单对估计受Hook007家族影响）

估算方法

去年约有50 万用户受到影响

设备实际被盗的用户数量估计为1/100:5000。

据专业反诈骗平台猎网统计，用户因游戏账号被盗平均损失2338元。

结论是

1年预估：5000*2338=1169万元

附录3 部分CC相关域名及IP：

0710yx.aliapp.com0710yx.asia0710yx.xmwwy.com0710yx.yksyx.org07l0.gamr89.com07l0yx.co106.111.140.16106.226.228.105106.80。