回顾：后门病毒Gh0st近年变种演化

73327424

网络安全的核心本质是攻防对抗。当防病毒技术在不断完善的同时，病毒也在不断设法予以对抗，夹缝求生。Gh0st 后门病毒就是其中之一。Gh0st 是一种远程访问工具（RAT），最早出现在 2001 年左右，通过远程控制受感染计算机来执行各种恶意活动。其发展历史与网络攻击、渗透测试和间谍活动紧密相连，并且相关代码已经开源，致使对应变种层出不穷，对用户造成了较大的威胁。据“火绒威胁情报系统”显示， Gh0st 在国内常见的后门病毒中占比最大，超过50%。

数据统计图

传统的 Gh0st 由控制器和服务器组成，其功能模块多以插件形式下发，包含如下功能：

• 键盘记录
• 远程终端访问
• 远程音频和视频访问
• 文件管理
• 远程文件下载和执行
• 进程资源管理器和其他系统枚举功能
• 图形用户界面交互（远程控制）
• 自我更新
• 重置 SSDT 以删除现有挂钩
  

Gh0st 木马截图

火绒工程师在分析该病毒的对抗历程和变化特征时发现，该病毒不仅持续更新免杀对抗手段，而且传播途径花样百出，前后发生至少五次主要变种：

第一次变种

黑客通过攻击用户 SQL Server 服务器的方式，利用数据库相关进程下载并执行 Gh0st 后门病毒的早期变种—— “神农远控” ，火绒安全产品及时感知并拦截了该变种。

火绒查杀图

不同于原始 Gh0st 的单一执行方式和注册表的简单利用，该变种除了会在不同的操作系统（InstallTime、WOW64 等）中执行不同的病毒逻辑外，还用于感染后的信息交互。

部分操作截图

在前期信息收集的过程中，该变种除了原有的硬件信息外，还添加了对各种杀软和敏感软件的检测，以供控制端调整执行策略。

软件遍历

在通信方面，一改传统 5 字节 "Gh0st" 默认开头和13 字节特征数据头，通过添加固定的 "HTTPWWW.NCBUG.COM" 绕开 Gh0st 的流量端的关键字匹配。对于回传的数据部分，更是直接自定义了要执行的 shellcode 代码，用于指定各种自定义操作。

代码部分截图及完全功能展示

相关文章链接：

火绒5.0公测阶段就立功 有效防御某一类常见黑客攻击

第二次变种

在供应链污染问题上，“火绒威胁情报系统”同样发现了 Gh0st 变种的利用踪迹。一款名为 HellohaoOCR_V3.1 的图像识别程序经分析携带着后门病毒 Scvhost.exe（Gh0st 的变种），该程序作者由于利用了第三方的易语言导致编译环境被感染，从而导致病毒被不断扩散。

火绒查杀图

Scvhost.exe 作为 Gh0st 的一个变种，除了通过传统的 C&C 服务器接收上线消息通知外，还添加了可以通过 QQ 上线的方式。其原理是通过 QQ 一个公开接口来获取加密之后的其他 C&C 服务器地址和端口，以此变换服务器地址并绕过杀软 IP 封禁。

远控配置界面

该变种在执行层面上，继承了前面已提到过的杀软对抗，shellcode 代码执行等特点。但在通信操作上，除了前面提到的 QQ 上线外，该变种会通过第三方网站 “ip.cn” 来获取真实的 C&C 服务器地址，确保获取到的 C&C 服务器地址不会受到当前网络环境影响（比如 DNS 劫持）。

相关代码及功能展示

相关文章链接：

供应链污染几时休：记一次排查后门病毒发现的行业乱象

第三次变种

黑灰产软件往往是病毒聚集的重灾区，Gh0st 变种也将目光瞄准了此处。火绒安全工程师根据用户反馈和“火绒威胁情报系统”监测，发现 Gh0st 的变种通过 “穿越火线” 等多款游戏外挂传播，并通过 QQ 群、网盘等渠道持续扩散。

火绒查杀图

在本次事件中 Gh0st 变种的执行依托于父文件 “白加黑” 的攻击组合，经过多层 PE 流调用和内层解密逻辑，最终通过动态库的导出函数调用内存中注入的 Gh0st 变种：

相关代码及功能展示

与上面例子中提到的后续操作中不同的是，该变种直接下发勒索病毒进行全盘文件加密，还会在遍历检测杀毒软件的过程中，通过控制端消息弹窗功能对中毒用户进行恐吓 “别杀毒了，木有用”：

相关代码及功能展示

相关文章链接：

黑客通过游戏外挂植入后门病毒 弹窗叫嚣“杀毒无用”

第四次变种

Gh0st 变种不断在免杀对抗方面加强。火绒安全工程师在用户感染的电脑中发现了蠕虫病毒，根据相关威胁信息展开溯源分析，最终发现是以 Gh0st 变种后门为 "主"，蠕虫为 "辅" 的恶意控制行为。

火绒查杀图

该 Gh0st 的变种在注册修改，杀软遍历以及自定义的后门控制功能上，与第一个例子 《火绒5.0公测阶段就立功 有效防御某一类常见黑客攻击 》文章中分析的变种相差无几，根据连接的域名的同源性以及 DDOS 模块的移除（DDOS 网站已过期），可以判断是同一样本的不断改进。

相关代码及功能展示

值得注意的是其最终落地的方式，作为嵌入最深，解密最多，最后释放的 “本体” ，其所依附的父文件经过多层嵌套。使用了包括多层 PE 流调用、VMProtect 和 Safengine Shielden 加壳保护、DLL 内存加载、异常反调试、流程混淆在内的多种免杀技术。被捆绑的其它家族的感染型病毒用于掩护后门执行并加大破坏性，影响恶劣。

相关代码及功能展示

相关文章链接：

后门病毒携带蠕虫 使用多种免杀手段

第五次变种

近期火绒安全工程师在追踪 "Xidu" 组织的过程中，捕获到的多个“Xidu”变种样本， "Xidu" 团伙所使用的后门病毒实质为 Gh0st 的新型变种。

火绒查杀图

其在逻辑上改动很大，对代理和激活命令的设置，以及上线间隔，数据包标志等大量代码都进行删改，但主体框架依旧可辨。

主逻辑对比图

对于一些边缘的功能函数，则没有发现太大的改动，由此更加确信其基于 Gh0st 开发的判断。

逻辑对比

逻辑对比

在对该变种的追踪过程中，其使用的免杀技术经过多次迭代：多层 “白加黑” ——>多层 PE 调用流——>加壳混淆——>DDR 绕过等，改进十分频繁。

流程迭代图

除了上述中提到过的手法外，该变种利用压缩包嵌套释放出大量落地文件，对于 C2 等配置也会存放到单独文件中，期望减少自身威胁特征值并干扰分析流程。除此之外，其还通过快捷方式来将自身添加到注册表进行持久化，一改原始服务写入的方式。关于分析细节，请转到对应文章链接中查看。

相关代码及功能展示

相关文章链接：

后门病毒利用“白加黑”躲避查杀 可随意操控用户电脑

黑客伪装成客户针对金融、证券业投毒 窃取信息危害严重

对抗再升级，“Xidu”新变种利用云笔记平台躲避检测

对于以上变种，火绒安全工程师在深入了解其攻击原理和手法特征后，将防御策略应用到产品中，可进行拦截、查杀。该病毒团伙预计后续还会持续更新其变种，火绒安全实验室会持续跟进，保障用户的终端安全。