揭秘“看門狗”病毒的傳播套路，360安全大腦鑄就安全護城河

9月中旬以來，360安全大腦監測到多起針對商戶和股民的網路木馬攻擊事件。360高階威脅研究分析中心追蹤分析發現，此次攻擊的手法和使用的檔案特徵與“看門狗”病毒如出一轍，幾乎可以認定是“看門狗”團伙所為。對此，360安全團隊提醒使用者應及時下載安裝360安全衛士，從而在第一時間攔截查殺此類木馬威脅。

據悉，“看門狗”又稱“金眼狗”，曾廣泛受到國內外安全廠商的關注和報導，其主要攻擊目標為東南亞博彩行業，並慣於使用Telegram等軟體進行傳播。而此次發起攻擊的木馬同樣是透過通訊軟體（如Telegram）和釣魚網站進行傳播，甚至就連木馬執行方法也同樣是透過lnk檔案執行指令碼，進而發起斷網攻擊等方式向受害機器植入遠控木馬並實現持續駐留的。故此，360安全團隊認為這是“看門狗”團伙針對商戶和股民發起的新一波攻擊。

經溯源，360安全團隊還找到下發木馬壓縮包的惡意網站IP為144.48.8.72，由此可反查到該IP的兩個域名ouyipay.net和hlsypay.com。兩個惡意域名均在今年9月份進行註冊，並且從域名的拼寫來看，應該是在模仿第三方線上支付解決方案網站yoyipay.com和hlspay.com（已過期）進行的域名註冊。

而透過通訊軟體群組進行傳播的木馬也會根據所在群組特徵有針對性的修改為對特定群體更具吸引力的名稱進行投放，比如分析人員就曾捕獲到其經使用了“茅臺集團戶外廣告資源採購- 禁止外傳 內部使用需申請.zip”的檔名進行傳播。不過，所說傳播方式五花八門，但其下發的木馬是一致的。以釣魚網站下發為例，當使用者訪問攻擊者設定的釣魚網站時將會看到相同的如下登入介面：

不管是“點選此處更新防護盾”還是輸入賬號密碼“安全登入”，最終都會從URL：index_files/ouyipay.zip處下載到名為ouyipay.zip的惡意壓縮包資源。而壓縮包ouyipay.zip僅包含一個可執行檔案檔案，即ouyipay.exe。值得一提的是，分析人員所下載到的檔案編譯時間為9月15日，而在撰寫這篇報告的同時，木馬仍在不斷更新。

該木馬完成在C:\programdata\的釋放後，會立即執行如下這段powershell命令，從而完成以下工作：

（1）利用DCOM介面物件ShellWindows，執行系統命令斷開網路連線；

（2）休眠2秒後執行之前釋放的程式C:\ProgramData\svchosts.exe；

（3）利用DCOM介面執行之前釋放的指令碼C:\ProgramData\Minutes.vbe；

（4）休眠2秒後執行系統命令恢復網路連線。

其中，svchosts.exe程式被啟動後，會再釋放處officeexp.exe、office.exe並執行。釋放的兩個檔案功能相似，均具有齊全的遠控功能，支援程式操作、檔案操作、鍵盤記錄、資訊竊取、截圖、代理、橫向移動、駐留機器等功能。

透過一系列複雜操作，該木馬最終可實現其釋放的遠控程式svchosts.exe的長期記憶體駐留。而攻擊者可以在後續的操作中，利用駐留記憶體的木馬進一步收集使用者資訊，併發起新一輪滲透攻擊，從而對使用者資訊和財產安全造成巨大威脅。

不過，使用者也無需過於擔憂。在360安全大腦的極智賦能下，360安全衛士等系列產品可在第一時間攔截查殺此類木馬威脅。同時，針對此類威脅360安全大腦給出如下安全建議：

1. 對於個人使用者，可及時前往weishi.360.cn下載安裝360安全衛士，強力查殺此類病毒木馬；

2. 對於廣大政企使用者，可透過安裝360終端安全管理系統，有效攔截木馬病毒威脅，保護檔案及資料安全，詳情可透過400-6693-600諮詢瞭解；而對於小微企業，則可直接前往safe.online.360.cn，免費體驗360安全衛士團隊版，抵禦木馬病毒攻擊；

3. 企業360情報雲的ioc檢測、發現能力已經全面整合到本地大腦、asia、安全DNS等產品中，使用者可以透過採購這些產品獲取高效及時的最新威脅情報支援，提升安全產品防禦能力；

4. 目前360沙箱雲已對外提供公開服務，可及時前往ata.360.cn線上體驗。透過沙箱雲可以快速準確對可疑樣本完成自動化分析，幫助企業管理員更好應對企業內部面臨的安全問題；

5. 對於安全軟體報毒的程式，不要輕易新增信任或退出安全軟體；

6. 提高安全意識，不隨意開啟陌生人發來的各種檔案，如需開啟務必驗證檔案字尾是否與檔名符合。