網(wǎng)絡(luò)安全的核心本質(zhì)是攻防對抗。當防病毒技術(shù)在不斷完善的同時，病毒也在不斷設(shè)法予以對抗，夾縫求生。Gh0st 后門病毒就是其中之一。Gh0st 是一種遠程訪問工具（RAT），最早出現(xiàn)在 2001 年左右，通過遠程控制受感染計算機來執(zhí)行各種惡意活動。其發(fā)展歷史與網(wǎng)絡(luò)攻擊、滲透測試和間諜活動緊密相連，并且相關(guān)代碼已經(jīng)開源，致使對應(yīng)變種層出不窮，對用戶造成了較大的威脅。據(jù)“火絨威脅情報系統(tǒng)”顯示， Gh0st 在國內(nèi)常見的后門病毒中占比最大，超過50%。

?

傳統(tǒng)的 Gh0st 由控制器和服務(wù)器組成，其功能模塊多以插件形式下發(fā)，包含如下功能：

• 鍵盤記錄

• 遠程終端訪問

• 遠程音頻和視頻訪問

• 文件管理

• 遠程文件下載和執(zhí)行

• 進程資源管理器和其他系統(tǒng)枚舉功能

• 圖形用戶界面交互（遠程控制）

• 自我更新

• 重置 SSDT 以刪除現(xiàn)有掛鉤

火絨工程師在分析該病毒的對抗歷程和變化特征時發(fā)現(xiàn)，該病毒不僅持續(xù)更新免殺對抗手段，而且傳播途徑花樣百出，前后發(fā)生至少五次主要變種：

?

第一次變種

黑客通過攻擊用戶 SQL Server 服務(wù)器的方式，利用數(shù)據(jù)庫相關(guān)進程下載并執(zhí)行 Gh0st 后門病毒的早期變種—— “神農(nóng)遠控” ，火絨安全產(chǎn)品及時感知并攔截了該變種。

不同于原始 Gh0st 的單一執(zhí)行方式和注冊表的簡單利用，該變種除了會在不同的操作系統(tǒng)（InstallTime、WOW64 等）中執(zhí)行不同的病毒邏輯外，還用于感染后的信息交互。

在前期信息收集的過程中，該變種除了原有的硬件信息外，還添加了對各種殺軟和敏感軟件的檢測，以供控制端調(diào)整執(zhí)行策略。

在通信方面，一改傳統(tǒng) 5 字節(jié) "Gh0st" 默認開頭和13 字節(jié)特征數(shù)據(jù)頭，通過添加固定的 "HTTPWWW.NCBUG.COM" 繞開 Gh0st 的流量端的關(guān)鍵字匹配。對于回傳的數(shù)據(jù)部分，更是直接自定義了要執(zhí)行的 shellcode 代碼，用于指定各種自定義操作。

相關(guān)文章鏈接：

https://www.huorong.cn/info/1556281170207.html

?

第二次變種

在供應(yīng)鏈污染問題上，“火絨威脅情報系統(tǒng)”同樣發(fā)現(xiàn)了 Gh0st 變種的利用蹤跡。一款名為 HellohaoOCR_V3.1 的圖像識別程序經(jīng)分析攜帶著后門病毒 Scvhost.exe（Gh0st 的變種），該程序作者由于利用了第三方的易語言導(dǎo)致編譯環(huán)境被感染，從而導(dǎo)致病毒被不斷擴散。

Scvhost.exe 作為 Gh0st 的一個變種，除了通過傳統(tǒng)的 C&C 服務(wù)器接收上線消息通知外，還添加了可以通過 QQ 上線的方式。其原理是通過 QQ 一個公開接口來獲取加密之后的其他 C&C 服務(wù)器地址和端口，以此變換服務(wù)器地址并繞過殺軟 IP 封禁。

該變種在執(zhí)行層面上，繼承了前面已提到過的殺軟對抗，shellcode 代碼執(zhí)行等特點。但在通信操作上，除了前面提到的 QQ 上線外，該變種會通過第三方網(wǎng)站 “ip.cn” 來獲取真實的 C&C 服務(wù)器地址，確保獲取到的 C&C 服務(wù)器地址不會受到當前網(wǎng)絡(luò)環(huán)境影響（比如 DNS 劫持）。

相關(guān)文章鏈接：

供應(yīng)鏈污染幾時休：記一次排查后門病毒發(fā)現(xiàn)的行業(yè)亂象

?

第三次變種

黑灰產(chǎn)軟件往往是病毒聚集的重災(zāi)區(qū)，Gh0st 變種也將目光瞄準了此處?；鸾q安全工程師根據(jù)用戶反饋和“火絨威脅情報系統(tǒng)”監(jiān)測，發(fā)現(xiàn) Gh0st 的變種通過 “穿越火線” 等多款游戲外掛傳播，并通過 QQ 群、網(wǎng)盤等渠道持續(xù)擴散。

在本次事件中 Gh0st 變種的執(zhí)行依托于父文件 “白加黑” 的攻擊組合，經(jīng)過多層 PE 流調(diào)用和內(nèi)層解密邏輯，最終通過動態(tài)庫的導(dǎo)出函數(shù)調(diào)用內(nèi)存中注入的 Gh0st 變種：

與上面例子中提到的后續(xù)操作中不同的是，該變種直接下發(fā)勒索病毒進行全盤文件加密，還會在遍歷檢測殺毒軟件的過程中，通過控制端消息彈窗功能對中毒用戶進行恐嚇 “別殺毒了，木有用”：

相關(guān)文章鏈接：

黑客通過游戲外掛植入后門病毒 彈窗叫囂“殺毒無用”

?

第四次變種

Gh0st 變種不斷在免殺對抗方面加強?；鸾q安全工程師在用戶感染的電腦中發(fā)現(xiàn)了蠕蟲病毒，根據(jù)相關(guān)威脅信息展開溯源分析，最終發(fā)現(xiàn)是以 Gh0st 變種后門為 "主"，蠕蟲為 "輔" 的惡意控制行為。

該 Gh0st 的變種在注冊修改，殺軟遍歷以及自定義的后門控制功能上，與第一個例子 《火絨5.0公測階段就立功 有效防御某一類常見黑客攻擊 》 文章中分析的變種相差無幾，根據(jù)連接的域名的同源性以及 DDOS 模塊的移除（DDOS 網(wǎng)站已過期），可以判斷是同一樣本的不斷改進。

值得注意的是其最終落地的方式，作為嵌入最深，解密最多，最后釋放的 “本體” ，其所依附的父文件經(jīng)過多層嵌套。使用了包括多層 PE 流調(diào)用、VMProtect 和 Safengine Shielden 加殼保護、DLL 內(nèi)存加載、異常反調(diào)試、流程混淆在內(nèi)的多種免殺技術(shù)。被捆綁的其它家族的感染型病毒用于掩護后門執(zhí)行并加大破壞性，影響惡劣。

相關(guān)文章鏈接：

后門病毒攜帶蠕蟲 使用多種免殺手段

第五次變種

近期火絨安全工程師在追蹤 "Xidu" 組織的過程中，捕獲到的多個“Xidu”變種樣本， "Xidu" 團伙所使用的后門病毒實質(zhì)為 Gh0st 的新型變種。

其在邏輯上改動很大，對代理和激活命令的設(shè)置，以及上線間隔，數(shù)據(jù)包標志等大量代碼都進行刪改，但主體框架依舊可辨。

對于一些邊緣的功能函數(shù)，則沒有發(fā)現(xiàn)太大的改動，由此更加確信其基于 Gh0st 開發(fā)的判斷。

在對該變種的追蹤過程中，其使用的免殺技術(shù)經(jīng)過多次迭代：多層 “白加黑” ——>多層 PE 調(diào)用流——>加殼混淆——>DDR 繞過等，改進十分頻繁。

除了上述中提到過的手法外，該變種利用壓縮包嵌套釋放出大量落地文件，對于 C2 等配置也會存放到單獨文件中，期望減少自身威脅特征值并干擾分析流程。除此之外，其還通過快捷方式來將自身添加到注冊表進行持久化，一改原始服務(wù)寫入的方式。關(guān)于分析細節(jié)，請轉(zhuǎn)到對應(yīng)文章鏈接中查看。

相關(guān)文章鏈接：

后門病毒利用“白加黑”躲避查殺 可隨意操控用戶電腦

黑客偽裝成客戶針對金融、證券業(yè)投毒 竊取信息危害嚴重

對抗再升級，“Xidu”新變種利用云筆記平臺躲避檢測

?

對于以上變種，火絨安全工程師在深入了解其攻擊原理和手法特征后，將防御策略應(yīng)用到產(chǎn)品中，可進行攔截、查殺。該病毒團伙預(yù)計后續(xù)還會持續(xù)更新其變種，火絨安全實驗室會持續(xù)跟進，保障用戶的終端安全。