360追日團隊

0x00 摘要

---

• 最早可以追溯到2007年開始進行製作並傳播惡意程式碼等網際網路地下產業鏈活動，一直活躍至今。
• 製作並傳播的Hook007類樣本HASH數量達到17萬個，相關惡意程式碼雲查詢攔截次數達到1.3億次，相關惡意程式碼主要以後門和盜號程式為主。
• 主要針對中國使用者，累計受影響使用者超過千萬，單就Hook007家族統計近一年被感染使用者達到50萬。
• 相關初始攻擊主要依託即時通訊工具（QQ\YY等）採用社會工程學方法進行對特定物件進行攻擊；相關攻擊物件主要為網路遊戲玩家等普通網民，另外對教育、金融領域有幾次針對性攻擊。
• 進一步攻擊方式主要是將惡意程式碼偽裝為圖片、文件等傳送給特定物件，另外是製作虛假遊戲平臺網站，網站提供偽裝遊戲平臺（game456等）安裝包的惡意程式碼。
• 該組織持續與安全廠商進行對抗，至少針對包括360在內的3款國內安全軟體，以及卡巴斯基、位元梵德等國外相關安全產品採取過針對性技術措施，對抗行為最早可以追溯到2008年。對抗手段從實體檔案到通訊協議進行相關對抗，主要針對本地靜態掃描、雲查殺、主動防禦策略和網路層等環節的檢測。另外值得注意的是該組織成員會主動將惡意程式碼上報給安全廠商，目的是申請將惡意程式新增白名單或者探測安全廠商檢測機制。單就Hook007這個家族，我們對相關產品進行了多次升級或檢測策略調整。
• 該組織主要以竊取使用者資料、網際網路資源與服務濫用進行牟利。經過推算作者單就Hook007這一種遠控，每年至少獲利超過百萬。另外透過竊取使用者資料和虛擬財產，造成每年普通網民財產損失逾千萬元。Hook007這條地下產業鏈獲利總額已經過億。
• 該組織相關成員分工明確，從製作惡意程式碼到最終獲利組成了一條完整的地下產業鏈。主要包含製作惡意程式碼、傳播、更新、獲利等環節。

目錄

• 第一章 若干年的地下產業鏈活動 1
  • 一、關於007組織的產業鏈 1
  • 二、影響範圍最大的地下產業鏈 2
  • 三、攻擊目標 2
  • 四、攻擊時間（變化趨勢） 3
  • 五、牟利 3
  • 六、使用者反饋 5
• 第二章 攻擊手法分析 8
  • 一、典型攻擊流程 8
  • 二、惡意程式碼傳播 9
  • 三、持續對抗 12
  • 四、製作和更新 16
• 第三章 該組織使用的C&C 22
  • 一、C&C分類（基於功能） 22
  • 二、依託第三方平臺中轉 22
• 第四章 幕後始作俑者 24
• 附錄1 HOOK007家族樣本分析報告 25
• 附錄2 007組織涉案金額估算 25
• 附錄3 C&C 26
• 附錄4 MD5值 27

0x01 第一章 存在若干年的地下產業鏈活動

---

一、關於007組織的產業鏈

我們從2011年開始發現Hook007家族惡意程式碼，透過我們的持續監控和分析，幕後龐大的駭客組織逐漸浮出水面，我們將該組織命名007組織。該組織最早從2007年開始進行製作並傳播惡意程式碼，竊取使用者資料、虛擬財產等網際網路地下產業鏈活動，一直活躍至今。這是我們目前捕獲到的影響範圍最大，持續時間最長的地下產業鏈活動。

以007組織為主的地下產業鏈主要涉及商品是技術服務和惡意程式碼，該組織的核心商品是Hook007遠端控制惡意程式碼，進一步主要包含製作惡意程式碼、傳播、更新、獲利等環節。Hook007遠端控制是該組織獨立開發並進行持續的更新維護。007組織具備嚴密完整的組織結構，其中核心成員主要為開發和一級代理銷售，目前我們能明確掌握的是透過惡意程式碼這種商品的交易是該組織牟利的主要手段之一。相關惡意程式碼傳播到最終透過竊取使用者資料進行牟利這一環節我們可以確定是該地下產業鏈的一部分。

圖1消費者與生產者基本關係

007組織涉及的地下產業鏈中主要還是充當賣家（生產者）的角色。從下圖商品分類中，可以看出007組織涉及的商品主要為惡意程式碼（遠控、免殺等工具）和提供相關技術服務。另外該地下產業鏈中其他環節會包括資料資訊、許可權、漏洞等商品，但不是007組織主要涉及的商品型別。

圖2地下產業經濟鏈體系中商品分類

二、影響範圍最大的地下產業鏈

007組織相關攻擊活動最早可以追溯到2007年，從2011年開始非常活躍。製作並傳播的Hook007類樣本HASH數量達到17萬個，變種數量達到66種，相關惡意程式碼傳播達到1.3億次。另外我們近三個月捕獲到該家族的免殺器版本已超過上百個，購買使用者超過600個。該組織的相關攻擊活動主要針對中國使用者，累計受感染使用者超過千萬，單就Hook007家族統計近一年被感染使用者達到50萬。

該組織在攻擊成功後會透過遠端控制強行阻止使用者操作遊戲，並直接將使用者的虛假財產、遊戲裝備進行交易轉給盜號者帳號。另外該組織一直與安全廠商進行持續的對抗，從靜態查殺、動態檢測到網路不同層面進行躲避和對抗。

這是我們歷年來捕獲到的影響範圍最大，持續時間最長的地下產業鏈活動。

三、攻擊目標

透過我們的研究分析可以得出，007組織主要針對中國地區的使用者，其中主要關注網路遊戲玩家等普通網民。

另外對教育、金融領域有幾次針對性攻擊：

相關惡意程式碼原始檔名
2015證券資料-驗證.exe
2015年註冊化工工程師-驗證.exe
2015年重慶市社會工作員職業水平考試.exe
2015年執業醫師(臨床).exe
2015年山東地區第三季度會計從業.exe
2015江蘇第四季會計從業-部分驗證.exe
2015cpa註冊會計師資料-驗證.exe
15年造價工程師-驗證.exe
15貴州會計從業資料.exe
15高階職稱考生報名.exe

表1相關惡意程式碼原始檔名

相關統計項	具體內容
開始時間	2014年10月10日
結束時間	2015年10月10日
被感染使用者數量	500559個
惡意程式碼數量	161581個

表2 Hook007家族感染情況統計

圖3近一年受Hook007家族影響的使用者數量

四、攻擊時間（變化趨勢）

圖4惡意程式碼更新記錄

上圖是我們就Hook007家族變化趨勢的記錄，每個時間點都是Hook007家族新增變種或者相關攻擊方式或資源有重大變化的記錄。

007組織相關攻擊活動最早可以追溯到2007年，而從2011年開始Hook007家族開始影響比較廣泛，可以看出在2014年到2015年期間Hook007版本更新迭代非常頻繁。

五、牟利

• （一）惡意程式碼

  惡意程式碼的製作和更新維護是007組織的核心業務。進一步相關型別主要是木馬生成器、免殺和一些定製木馬。作者每年單就Hook007這一種遠端控制惡意程式獲利就已超過百萬。下圖是我們截獲的該組織相關惡意程式的報價單。

  

  圖5007組織相關惡意程式碼報價單（更新時間為2010年7月）

  我們近三個月捕獲到該家族的免殺器版本已超過上百個，購買使用者超過600個。下圖是購買相關惡意程式的地下產業鏈成員的分佈情況，可以看出以廣東省最多，其次是河南和山東省。

  

  圖6購買Hook007遠控的地下產業鏈成員分佈（最近三個月資料）

• （二） 竊取使用者資料

  Hook007遠端控制主要功能就是攻擊者可以完全控制受害者的機器，攻擊者可以下發任意控制指令。從我們收到的大量被感染Hook007木馬的使用者反饋中可以得知，該組織在攻擊成功後通常會透過遠端控制強行阻止使用者操作遊戲，並直接將使用者的虛假財產、遊戲裝備進行交易轉給盜號者帳號。也就是主要以竊取使用者虛擬貨幣、網遊裝備來進行牟利。透過竊取使用者資料和虛擬財產，造成每年普通網民財產損失逾千萬元。

• （三） 其他

  DDOS：該組織成員有開發如“毀滅者DDOS”等DDOS工具，由此我們懷疑除了工具的開發，相應地下產業鏈可能有涉及相關DDOS攻擊業務。

  惡意推廣：透過我們監控發現，該組織在控制受害者主機之後，可能會遠端控制下載執行推廣包，透過安裝量來達到牟利的目的。

六、使用者反饋

我們從第三方平臺和360論壇等平臺收到大量使用者反饋，相關反饋主要集中在已經造成使用者財產損失的使用者求助資訊。

以下是一些典型使用者反饋的截圖和連結：

參考連結：http://china.findlaw.cn/ask/question_1720116.html

參考連結：http://bbs.open.qq.com/thread-7593006-1-1.html

參考連結：http://bbs.360safe.com/thread-3943057-1-1.html

參考連結：http://bbs.360safe.com/thread-6119441-1-1.html

0x02 攻擊手法分析

---

一、 典型攻擊流程

• （一） 基於即時通訊工具

  

  圖11典型攻擊流程（基於即時聊天工具）

  具體攻擊步驟：

  a、 攻擊者首先依託遊戲平臺進行“喊話”或發站內信，以出售、收購或交換遊戲裝備的名義傳送虛假訊息，並留下QQ號。 b、 受害者透過遊戲平臺瞭解到攻擊者傳送的訊息，如果受害者不知情則有可能新增攻擊者聯絡方式，主動聯絡攻擊者。 c、 進一步攻擊者透過QQ等即時聊天工具進一步獲取受害者信任。 d、 當攻擊者取得受害者一定程度信任後，攻擊者會將木馬檔案偽裝成“裝備圖片”等傳送給受害者，受害者接收執行後則被植入相關後門木馬，被攻擊者控制。 e、 遠端控制玩家電腦，鎖定計算機的鍵盤、滑鼠，或設定螢幕黑屏。並短時間內將玩家的遊戲裝備，金幣交易給盜號者的帳號。

• （二） 基於假冒網站

  

  圖12典型攻擊流程（基於假冒網站）

  具體攻擊步驟：

  a、 攻擊者首先製作假冒網站，這裡主要是假冒如game456類遊戲平臺網站，同時會製作相應虛假的惡意安裝包程式。最終假冒網站上的下載連結會指向這個虛假安裝包程式。 b、 進一步攻擊者需要讓相應使用者訪問假冒網站，主要途徑是透過搜尋引擎和基於即時聊天工具等平臺。攻擊者會使用付費推廣等方法，使得相關假冒網站在搜尋某些關鍵字的時候，可以優先呈現在搜尋結果中。 c、 受害者從搜尋引擎搜尋出或者從聊天工具中收到相關假冒網站連結，並點選開啟假冒網站，則有可能下載相應虛假安裝程式。假冒網站製作的與正常官方網站從外觀看基本一致，使用者很難辨別真偽。另外相關遊戲平臺官方網站或者安裝包的來源是否為官方源本來就沒有清晰明確的提示，所以使用者從搜尋結果中很難識別哪些是可信，那些是惡意的。 d、 當受害者下載並執行了虛假安裝包，則作業系統會被攻擊者控制。 e、 遠端控制玩家電腦，鎖定計算機的鍵盤、滑鼠，或設定螢幕黑屏。並短時間內將玩家的遊戲裝備，金幣交易給盜號者的帳號。

  注：

  以上是主流的攻擊流程，一些非主流攻擊流程沒有具體展開。如利用郵件附件傳播、掛馬傳播等傳播方式，DDOS攻擊，在受害主機上下載執行推廣包等獲利模式等。

二、惡意程式碼傳播

惡意程式碼的傳播方法主要集中在依託即時通訊工具和網站。其中以依託即時通訊工具這種方式佔主流。

• （一） 即時通訊工具

  攻擊者主要依託即時通訊工具進行惡意程式碼傳播，從目前捕獲到的情況主要分為直接傳送PE可執行程式，另一種是QQ群共享。該方法針對性強，但也容易被受害者感知到。

  

  圖13透過QQ傳播的檔案形態示例

  

  圖14透過YY傳播的檔案形態示例

  由於Windows系統預設是不開啟顯示字尾和隱藏檔案的。所以受害者們接收到這些檔案壓縮包解壓後，發現木馬檔案裡面只含有“BMP格式”的圖片（實則是指向病毒程式的快捷方式），而真正含有惡意程式碼的檔案則被隱藏起來

• （二） 網站

  • 1)假冒遊戲平臺網站

    攻擊者會搭建虛假的遊戲平臺，並透過搜尋引擎、彈窗等手段推廣。假冒的遊戲平臺網站與官方網站外觀一致，受害者很難分辨真偽。攻擊者會將虛假的惡意安裝包放置到假冒的網站上，當使用者訪問網站下載並執行相應虛假安裝包則會被攻擊者控制。

    下圖是我們在某知名搜尋引擎上搜尋鳳凰山莊的搜尋結果。可以看到，第一頁的兩條推廣結果為假冒的網站。

    

    圖15“鳳凰山莊”搜尋結果

    

    圖16假冒鳳凰山莊網站（左），鳳凰山莊官網（右）

    圖假冒鳳凰山莊和官網的對比截圖，我們可以看出除了網址不同，其他頁面外觀均一致。很難分辨真偽。

    攻擊者不是單一選擇一款遊戲平臺進行假冒偽裝。我們可以從下表看出，攻擊者假冒了很多遊戲平臺。具體參看下表：

    假冒遊戲平臺名稱	虛假惡意網站	備註說明
    199遊戲
    235遊戲中心	game235.top
    883XX遊戲中心	game88369.com.cn
    	www.game88369.gyemw.com
    	www.game88369.zxshy.com
    	www.game88369.nmqzx.com
    	www.game88369.yjfjn.cn	該系列其他名稱還有
    	www.ycttcy.net	88370-88381，總共12個
    K7豫遊遊戲中心	qipai007.aliapp.com
    鳳凰遊戲山莊	fhgame.sdforging.com.cn
    	tlwt1258.cn
    	vikodrive.cn
    	fhgame.sdforging.com.cn
    漢遊天下安裝包	shlvxun.gamr89.com
    集結號遊戲中心	www.jjhggame.com
    建德遊戲	www.byjd571.net
    寧波遊戲大廳	www.nbgame.org
    四川遊戲家園	28qp.com.tw
    天妃遊戲
    網狐遊戲家園	foxuc.com.cn
    	foxuc.com.tw
    襄陽同城遊戲	0710yx.aliapp.com
    	www.hnzcs.com
    	0710yx.xmwwy.com
    	cng.minsun.cc
    	07l0yx.co
    	07l0.gamr89.com
    	0710yx.yksyx.org
    	0710yx.asia
    雲海遊戲	yunhai78.07l0yx.co
    眾安棋牌89遊戲中心	fjtu123.gamr89.com
    	www.ftqp888.com

    表3假冒遊戲平臺網站列表

  • 2)官方網站安裝包被替換

    我們捕獲到從某些遊戲平臺官方網站下載的安裝包被替換為包含惡意程式碼的虛假遊戲平臺安裝包。

    進一步我們分析官方可信網站存在惡意虛假安裝包這種情況，可能由以下兩種情況導致：

    第一、相關官方可信網站被攻陷，正常安裝包被攻擊者替換；

    第二、官方可信網站的相關工作人員可能刻意替換放置惡意虛假安裝包。

    從我們的分析來看，更傾向於第一種情況。下面是鳳凰遊戲山莊網站存在惡意虛假安裝包的情況：

    鳳凰遊戲山莊官方網站
    時間 | 2015-09-15 19:03:20
    父頁面 | http://game.fhgame.com/download.html
    下載URL | http://down.fhgame.com/fhgame/FHGameLobby/FHGameLobby.exe
    惡意檔案MD5 | ef749aecd9a292cd0c6873840d6f9115

    表4被替換惡意虛假安裝包具體資訊

三、持續對抗

該組織持續與安全廠商進行對抗，至少針對包括360在內的3款國內安全軟體，以及卡巴斯基、位元梵德等國外相關安全產品採取過針對性技術措施，對抗行為最早可以追溯到2008年。對抗手段從實體檔案到通訊協議進行相關對抗，主要針對本地靜態掃描、雲查殺、主動防禦策略和網路層等環節的檢測。另外值得注意的是該組織成員會主動聯絡安全廠商，目的是申請將惡意程式新增白名單或者探測安全廠商檢測機制。單就Hook007這個家族，我們對相關產品進行了多次升級或檢測策略調整。以下將從靜態查殺、動態檢測、網路監控和探測廠商檢測，這四個方面逐一展開相關對抗手法的介紹

• （一） 靜態查殺

  

  圖17靜態查殺對抗相關發展變化趨勢

  從上圖可以清晰看出Hook007在靜態查殺相關對抗發展歷程，如字串從明文更新到加密字串，最後為無字串特徵。

  早期的Hook007家族是透過暴風白利用，然後再擴充套件到其他廠商（如迅雷等）白檔案利用。所謂“白利用”通常指的是病毒利用正規廠商的正常程式作為掩護，透過這些程式在判斷邏輯上的一些缺陷利用其載入木馬作者的提供的惡意代，用以逃避安全軟體的查殺。最近一段時間，該族系木馬則改為利用微軟的rundll32.exe檔案執行含有惡意程式碼的dll檔案。

• （二） 動態檢測

  • 1）使用特殊浮點指令bypass虛擬機器查殺
  • 2）LDTDetect：檢測LDT基址位於0x0000時為真實主機，否則為虛擬機器
  • 3）GDTDetect：檢測GDT基址位於0xFFXXXXXX時說明處於虛擬機器中，否則為真實主機
  • 4）VMwareDetect：檢測VMware特權指令來檢測虛擬機器
  • 5）起初是自啟動，之後進一步更新為一次性
  • 6）逐漸閹割Gh0st後門敏感功能

• （三） 網路監控

  • 1）使用3322上線->其他動態域名->頂級域名->直接ip->微博，網盤中轉
  • 2）Gh0st上線協議->修改協議頭->逐漸修改成無特徵協議

  

• （四） 探測安全廠商檢測機制

  為了木馬能更有效的避免安全廠商檢測，該組織成員有主動提交相關樣本，來探測安全廠商檢測機制的活動。

  攻擊者探測的方式主要透過給安全廠商樣本上報郵箱傳送郵件和透過安全廠商官方論壇反饋問題和樣本。下圖是攻擊者給位元梵德、卡巴斯基和360安全廠商傳送的探測郵件截圖。

  

  圖19攻擊者探測（透過郵件1）

  

  圖20攻擊者探測（透過郵件2）

  被探測的廠商	相關被探測的郵箱地址
  位元梵德	sample sample@bitdefender-cn.com
  卡巴斯基	newvirusnewvirus@kaspersky.com
  360	opensoft opensoft@360.cn

  表5被探測相關安全廠商列表

  下面兩張圖片是該組織在2013年12月和2015年9月分別提交的兩個貼，均提交到360論壇問題反饋子板塊。

  

  圖21攻擊者探測（透過論壇反饋1）

  參考連結：http://bbs.360safe.com/thread-3248178-1-1.html

  

  圖22攻擊者探測（透過論壇反饋2）

  參考連結：http://bbs.360safe.com/thread-6202909-1-1.html

四、製作和更新

007組織在開發的惡意程式碼工具種類比較多，其中以給力遠端控制工具和給力免殺器為主。而相關更新維護則主要是針對Hook007家族進行相關更新。

• （一）007相關惡意軟體

  

  圖23Hook007相關惡意軟體種類

  從上圖我們可以看出007組織會涉及到製作或傳播給力免殺、給力遠控、盜號木馬、DDOS、漏洞掃描、下載者和其他遠控，其中給力免殺和給力遠控是007組織主要開發和維護的工具。

  以下主要是該組織核心成員開發的相關工具的截圖。作者在工具上都會留下自己的暱稱（早期為小寡婦007，後期主要是Hook007）和QQ號（24585329）。

  

  圖24 remote007工具截圖

  

  圖25大牛B下載者生成器截圖

  

  圖26阿凡提遠端控制軟體截圖

  

  圖27毀滅者DDOS介面

  

  圖28相關捆綁工具截圖

• （二）Hook007遠端控制（給力遠控）

  我們一直持續跟蹤監控的Hook007家族，其生成器作者命名為“給力”遠控。

  

  圖29給力遠端協助工具

  

  圖30給力遠端協助工具登入驗證工具

  

  圖31給力免殺器

• （三）Hook007遠端控制迭代更新

  該組織製作的惡意程式碼主要以偽裝圖片或文件，虛假安裝包這兩種形態，這兩種最終後門程式均為Hook007家族，是基於Gh0st進行修改的版本。

  

  圖32惡意程式碼更新記錄

  Hook007家族主要更新變化趨勢

  • 2012 年之前，Hook007家族，還是原始版本的Gh0st遠控，啟動引數帶有Hook007，fuck360，fuck007等，透過不同的啟動引數，決定木馬執行安裝流程還是遠控流程。
  • 2012年中旬，基於開源遠控協議，大約每兩三天發一批新域名的木馬。IP由域名解析得到。
  • 2012年底，基於開源協議進行小幅度變種。大約每兩三天發一批新域名的木馬。IP由域名解析得到。
  • 2013年中旬，基於開源協議進行大幅度變種，需透過大資料分析捕獲協議特徵。大約每天發一到兩批新域名的木馬。IP由域名解析得到。
  • 2013年中下旬，基於開源協議，針對360監控模式，加入混淆資料，大約每天發三到四批新域名的木馬，IP由域名解析得到。
  • 2014年初，基於開源協議加入迷惑性資料，偽造成其他常見資料協議，難與主流協議區分。無新域名，採用直接訪問IP，大約每天發七到八批新IP的木馬。
  • 2014年中旬，網路協議為自定義協議，同時偽造成其他常見資料協議，透過第三方平臺網站的自定義內容跳轉到制定IP，大約每天發六到七批新木馬。
  • 2015年初，網路協議為自定義協議，直接請求IP，如果無法上線，再透過第三方平臺網站的自定義頁面查詢新IP，約每半小時一批新IP木馬。
  • 2015年中下旬，更新自定義協議，直接請求IP，如果無法上線，再透過第三方平臺網站的自定義頁面查詢新IP，約每半小時一批新IP、新協議木馬。

0x03 該組織使用的C&C

---

一、C&C分類（基於功能）

該組織出現使用的C&C（Command and control，通訊控制）非常多，相關域名、IP也是分工明確。我們大概從C&C功能的角度分析出相關C&C的種類：

1. 直接連IP
2. 連攻擊者所持有的域名，進一步解析域名指向IP
3. 連線騰訊微博，解析頁面中IP
4. 連線永碩E盤，解析頁面中IP
5. 驗證或更新的IP：專用於後門更新的伺服器。
6. 偽造遊戲平臺網站的域名和IP

另外在本報告“第二章攻擊手法分析”中“三、持續對抗”章節，我們已經介紹了攻擊者在網路層面是如何進行持續對抗的，也就是下圖可以看出攻擊者在選擇C&C的變化趨勢。

圖33惡意程式碼與伺服器通訊變化趨勢

二、依託第三方平臺中轉

下面兩個圖是永碩E盤和騰訊微博獲得上線IP的具體截圖：

圖34利用永碩E盤獲得上線IP

圖35利用騰訊微博獲得上線IP

下面兩個截圖是攻擊者用來解析騰訊微博上線IP地址的工具，和該工具相關程式碼截圖。

圖36解析微博、網盤工具

圖37微博IP查詢器相關程式碼截圖

0x04 幕後始作俑者

---

007組織相關成員分工明確，從製作惡意程式碼到最終獲利組成了一條完整的地下產業鏈。主要包含製作惡意程式碼、傳播、更新、獲利等環節。

從目前我們已知的資料來看，該組織相關成員主要分佈在湖北、山東和廣東三個地區。

圖38 007組織架構

007組織主要以Hook007（嫌疑人01）為主，Hook007和另一名嫌疑人02是主要開發人員，開發的惡意軟體以Hook007遠控（給力遠控）為主。另外Hook007與黑友（又名黑色經濟，嫌疑人08）在早期就有相關業務合作，黑友的角色與廣東熊二（嫌疑人06）相似。相關更新維護工作主要圍繞Hook007遠控展開。以Hook007遠控為主的惡意軟體會提供給山東相關同夥和廣東同夥，其中以廣東的熊二為主。以廣東熊二為例，熊二作為代理商的角色會將相關遠控工具在提供給其他下級買家。

進一步後續會有專人負責傳播惡意程式碼和相關竊取使用者資料、惡意推廣。由於相關傳播過程需要社會工程學欺騙受害者，以及需要與受害者多次互動，所以我們推測相關傳播惡意程式碼的人員和竊取使用者資料的人員會有重疊的情況。最後相關人員將竊取的資料資訊透過第三方網路遊戲交易平臺或其他渠道進行交易，最終達到獲利。

另外值得我們注意的是廣東相關同夥的上家除了Hook007，還有其他組織提供大量的惡意程式。另外山東同夥涉及Android木馬（以簡訊攔截馬為主）的相關業務。

0x05 附錄

---

附錄1 Hook007家族樣本分析報告

具體請參看：

1. “罪惡家族——Hook007木馬”，http://blogs.360.cn/blog/Hook007_trojan/
2. “罪惡家族Hook007之潛伏篇”，http://blogs.360.cn/blog/hoook007/

附錄2 007組織涉案金額估算

007組織核心成員涉案金額	（單對Hook007生成器估算）
估算方法	單價：300元
	生成器數量（三個月）：120個
	擁有生成器的人數：1個生成器對應10個人
結論	一年估算：300*120*10*4=144萬元

受害使用者損失金額	（單對受Hook007家族影響的估算）
估算方法	近一年受影響使用者約：50萬左右
	真正被竊取裝備的使用者估算為受影響的1/100：5000
	根據專業反詐騙平臺獵網平臺的統計數字顯示，因遊戲帳號被盜而導致的使用者損失人均為：2338元
結論	一年估算：5000*2338=1169萬元

附錄3 C&C

涉及到的部分域名和IP：

0710yx.aliapp.com
0710yx.asia
0710yx.xmwwy.com
0710yx.yksyx.org
07l0.gamr89.com
07l0yx.co
106.111.140.16
106.226.228.105
106.80.54.138
106.80.56.59
111.195.244.20
14.119.236.212
14.119.237.103
14.119.239.174
14.119.241.1
654004572.ys168.com
983830035.ys168.com
a594250576.ys168.com
a6601251.ys168.com
bobo.haoyue1688.com
ccl0579.com
cng.minsun.cc
dioeopp.org
ewq889966.ys168.com
t.qq.com/a_739377521
t.qq.com/a1005561469
t.qq.com/a1156573029
t.qq.com/a125245585
t.qq.com/a12d132
t.qq.com/a136410138

附錄4 MD5值

部分惡意程式碼的MD5值：

5d8d0fd05af1264abb1d22cdb0406f83
f4f56532dea762d1be186bbe0f9e616e
12e71fc967f54fe989d500d38925eceb
4df813d38430d5ca988cb8d42cdf8e0b
7a005b7b22abc69b247e1c031688fe7e
f9ccb246b6b86c7f0d92c86c4560a17a
bfcc17fb2d5662b0b08727eb1ac243c0
1e657ebc26731ee8655eeeeed179bb62
efca9a583e86aa4ca2da424498799583
09b78b16f5c54093cc658c21fb028802
e30cd3b3d3bd4702d179858d0a0143fb
4991f063a1119a682ac82964303fd8cd
6132d5867eef96b69f67ee25a46b70da
8da89564a0259b29d7f9455443427e6f
8e21131ce2b38e1b000fc7ff980e40c2
17643d8a6e5982bce1e5647450f8365e
7ee1e4a7e61d5df97c52563d7a2838e7
ded24dc5158a3bd57546e02af0419317
70fa304c459d280d5b506d54362762a2
8c5d4c868b61d0e1d26fc5bc31369181
8e46b65ff218bc4e7d116c3bf5fddc61
3b3fd6e9ebd9e47bb221693f5aa3a770
557d573cccf1e71d43ce9f49b3bc116c
42cfc7c9bcb595e5eb3a857974605cd0
73be41e111bb5598ec14b13e6472099f
041536acfd00fe9f10b51c3fefdb9798
31e8889d79aad982323faef454e59f6e
71b7b652330c94cb7c9d42197b04a600
448e84bbdb9721d80b65c27a0278644c
353264b562660a940d5d761bfa2e1ced