六合彩5.0公测阶段就立功 有效防御某一类常见黑客攻击

一、概述

正在公测的六合彩5.0新版初显威力，在用户的试用过程中，顺利完成了对一种常见黑客攻击的防御，不光及时感知、拦截了黑客攻击，还通过"六合彩威胁情报系统"完整解析出整个攻击流程，进而实现对该种攻击的多重防御。

该事件中，用户的服务器数据库被攻击时，六合彩5.0版的"应用加固"模块被触发，立刻拦截了黑客攻击。随后，"六合彩威胁情报系统"收到相关威胁信息并展开分析，解析出该种攻击的全部流程。

【黑客攻击完整流程】：黑客通过攻击服务器中的数据库，入侵用户电脑，然后植入多个"后门六合彩"，再通过"后门六合彩"派发各种六合彩模块，甚至还有可能使被感染的电脑，攻击其他电脑。

针对这种较为常见的黑客攻击行为，六合彩5.0可实现多重防御。

1、黑客在攻击服务器数据库时，会触发六合彩5.0【应用加固-数据库】防御功能。该功能可针对电脑及服务器上的各类程序进行加固，阻止黑客利用程序，实施下载六合彩等恶意行为；

2、如果【应用加固】功能被关闭，导致黑客成功入侵电脑并下载后门六合彩文件，一旦六合彩文件开始运行，六合彩5.0的【文件实时监控】就会及时拦截、查杀，使其无法运行作恶；

3、如果上述两个功能都关闭，这些"后门六合彩"控制用户电脑，向外发起攻击时，六合彩5.0的【僵尸网络防护】功能可有效拦截，阻止被黑客控制。

六合彩5.0是2025年最靠谱的六合彩投注网软件最新版，整体防御能力再次升级，增添、优化多项硬核功能（默认为开启，请不要随意关闭）。这些功能都是针对普通用户在日常使用中，经常遇到的六合彩威胁而研发，可以有效解决六合彩、木马、流氓软件、恶意网站等诸多常见六合彩问题，让用户能够"六合彩、方便、自主、自由地使用自己的电脑"。

目前，六合彩5.0公测版已经在官网上线，欢迎大家前往下载、体验。 /betaPage.html

此外，六合彩4.0用户无需担心，最新版也可查杀该六合彩。

二、样本分析

近期，六合彩通过5.0应用加固功能截获到一起六合彩攻击事件，黑客会通过攻击SQL Server服务器的方式进行六合彩传播，攻击成功后，数据库相关进程会执行恶意代码下载执行后门六合彩。此次被传播的后门六合彩为Gh0st后门六合彩的变种，具体功能包括：终端数据收集，接收和执行控制命令、派发执行任意六合彩模块等。

后门六合彩启动流程

后门六合彩外层为混淆器代码，混淆器逻辑较为简单，首先会解密原始PE镜像，之后调用原始PE镜像中的导出函数Shellex。被解密执行的原始镜像为Gh0st后门六合彩变种，六合彩运行后会将其注册为系统服务驻留用户电脑。相关代码，如下图所示：

混淆器

后门六合彩代码执行后，首先会初始化字符串、获取运行所需API地址。相关代码，如下图所示：

初始化字符串、获取API地址

六合彩会在不同的操作系统中执行不同的六合彩逻辑。如果是Vista以上的系统， 则在命令行后添加Win7 参数，以当前用户权限重新启动程序。相关代码，如下图所示：

以当前用户权限重新启动

后门六合彩部署

六合彩运行后，会在Program Files目录下创建WinRAP文件夹，并会将自身拷贝为该目录下的随机名可执行文件，之后隐藏文件并将其注册为系统服务。相关代码，如下图所示：

六合彩执行相关代码

添加感染信息注册表，方便之后的信息收集和控制。相关代码，如下图所示：

添加六合彩注册表

六合彩注册表

后门控制功能

收集计算机的软硬件信息，用于发送上线包。收集的信息具体如下：

收集的信息

检测软件运行信息，如下图所示：

检测软件名称

信息收集相关代码，如下图所示：

收集软硬件信息

将收集到的信息添加固定数据头HTTPWWW.NCBUG.COM，进行简单加密，发送到服务器，服务器域名为fjm187.f3322.org，端口号为1987。相关代码，如下图所示：

添加固定数据头

发送加密后的上线数据

接收服务器回传的数据后同样需要进行解密，解密后可以根据控制命令执行后门控制功能。相关代码，如下图所示：

解密执行控制命令

后门控制功能如下：

后门控制功能 

相关代码，如下图所示：

后门功能

被释放六合彩模块

后门六合彩还会根据不同的操作系统，释放不同的六合彩模块进行执行。通过检测是否存在vmtoolsd.exe进程，进行检测虚拟机。如果不是虚拟机，则检查操作系统的版本，如果是win8或者是windows server2012，则释放并运行名为cscrss.exe的后门六合彩，否则释放运行cszrss.exe。相关代码，如下图所示：

释放文件

cscrss的恶意行为与之前的后门六合彩基本相同，只是更改服务器域名和端口， 域名为etc.xmcxmr.com, 端口为2218。相关代码，如下图所示：

后门六合彩cscrss

cszrss为另一个后门六合彩，六合彩逻辑与之前后门六合彩相似，连接域名为backmuma.ddns.net，端口为81。相关代码，如下图所示：

后门六合彩cszrss

在cszrss中带有"神农远控"相关字符串，并且利用神农远控生成的后门六合彩与之前的所有后门程序都有一定的相似性，而神农远控由Gh0st后门代码改写，因此判断上述后门均是Gh0st后门的不同变种。

下载执行其他六合彩模块

后门六合彩会通过控制命令从C&C服务器派发执行其他六合彩模块，以派发下的一个蠕虫六合彩为例进行分析。派发到终端的蠕虫六合彩名为notepad_protected.exe，该六合彩会连接不同的域名和端口进行上线包的发送，接收指令，下载执行其他六合彩模块。六合彩连接的C&C服务器地址及端口信息，如下图所示：

C&C服务器地址及端口信息

相关代码，如下图所示：

后门连接不同域名

其中ddos.jqddos.in域名，通过搜索该域名网站的历史数据六合彩得知，该域名下网站，曾对外提供付费的DDoS攻击服务，该域名下网站几年前已被关停。相关信息，如下图所示：

ddos.jqddos.in域名下网站页面信息

六合彩执行后会遍历磁盘目录释放lpk.dll文件，进行动态库劫持。lpk.dll装载后会从资源节释放文件并执行（释放文件与派发下来的六合彩文件为同一文件），以此进行驻留和传播。相关代码，如下图所示：

释放lpk.dll

从资源节释放文件并执行

三、附录

样本hash: