0x00 起因
從上週末開始,360互聯網安全中心監控到一批下載者木馬傳播異常活躍。到3月7號,攔截量已經超過20W次,同時網頁掛馬量的報警數據也急劇增加。在對木馬的追蹤過程中,我們發現木馬的傳播源頭竟然是各家正規廠商的軟件,其中來自英雄聯盟和QQLive的佔了前三天傳播量的95%以上。而在受感染用戶分佈中,河南竟佔到了72%。 木馬傳播源TOP:
英雄聯盟AirLolClient.exe
QQLiveBrowser.exe
youkupage.exe
QyFragment.exe
QQGAMESNSWebBrowserIEProc.exe
SogouInput7.4.1.4880SohuNews.exe
網上的用戶反饋:
0x01 掛馬過程分析
在對數據分析之後,我們確認,這次攻擊事件和去年通過視頻客戶端掛馬是同一個團伙所為,使用的技術手段也比較相似。(《禍起蕭牆:由播放器引爆的全國性大規模掛馬分析》http://blogs.360.cn/360safe/2015/06/26/trojan-pass-player/)本次木馬傳播,主要是通過運營商(ISP)對用戶的網絡訪問做內容劫持,在html代碼中插入一段iframe的廣告代碼所引起的。在這段廣告代碼中,為客戶端引入了帶掛馬攻擊的flash文件。而國內仍有很多桌面客戶端使用舊版帶有漏洞的flash插件,如英雄聯盟,QQLive等。flash的漏洞,造成了這些客戶端本身易受攻擊,而客戶端本身也沒有做安全防護,沒有對通信進行加密,在ISP的攻擊面前不堪一擊。如果用戶計算機此時又沒有安裝帶有漏洞防護功能的安全軟件,就會造成用戶計算機被感染。 從聯繫到的用戶那裡來看,用戶的出口IP屬於河南鄭州移動網絡:
在聯繫用戶追查問題的時候,發現用戶打開任何網頁的時候都有可能中毒,顯然並不是特定網站被掛馬導致的。該用戶在打開了一個鳳凰網新聞頁面的時候便觸發了木馬,於是我們查看該網頁,發現瞭如下代碼:
很顯然,在一個itemscope的div元素下,出現了一個指向majore.b0.upayun.com的腳本元素和一段iframe嵌入頁面。 而在分析人員自己的機器中(北京市電信)訪問相同的頁面,則顯然沒有這兩個元素:
更為關鍵的是iframe中又嵌入了一層iframe指向muhlau.cn這個域名。為了方便查看,我們單獨打開了這個頁面,呈現出來的是一個看似正常的flash廣告動畫,但仔細看代碼發現——這裡面還有兩層iframe嵌套,而在最裡層的,是一個根本看不到的flash文件(截圖中紅框圈出來的就是這個看不見的flash文件的位置)
同時,查看瀏覽器的Network監控,也確認確實加載了這個swf文件:
拿到swf文件後分析來看,本身並沒有什麼實質性的動畫內容,反倒是含有一段經過doswf加密的腳本:
通過抓取內存dump可以看到明顯的shellcode字串以及加載shellcode的代碼:
含有惡意代碼的flash文件一旦被帶有漏洞的flash插件展示,便會觸發木馬下載動作,從3g4s.net域名下獲取一個可執行文件,下載到本地並執行。
0x02 掛馬數據展示
此次掛馬,攻擊者通過“上海米勞廣告傳媒有限公司”投放的廣告內容。 主要的掛馬頁面:
- hxxp://www.muhlau.cn/1/index001.html
- hxxp://majore.b0.upaiyun.com/06/media_1.html
所掛的flash木馬:
- hxxp://www.ip.muhlau.cn/LSQZA.swf
服務器地址:222.186.59.36(江蘇省鎮江市 電信) 截至我們發稿時,flash攻擊代碼已經有超過1000W次的獨立用戶訪問。單在3月9號一天,就有534W獨立用戶訪問到了掛馬頁面。
一分鐘內,有超過6800次的訪問。
掛馬頁面的引用來源,主要是廣告主的廣告跳轉頁面:
地區分佈可以看出,河南佔65%以上:
防護中心3月9日,單天統計到的木馬傳播趨勢:
0x03 木馬分析
此次木馬傳播者準備了大量木馬的免殺版本,在對抗過程中,高峰時木馬每分鐘均會更新一個版本,並針對多款安全軟件做免殺處理。木馬本身是一個簡單下載者加廣告程序,但更新極為頻繁,僅3月9號一天就更新超過300次。 客戶端被flash掛馬之後下載執行木馬的情況截圖:
捕獲的各種掛馬程序:
360安全衛士攔截木馬啟動:
被惡意flash文件下載到本地後以ad為參數執行;而廣告程序通過判斷啟動參數來決定執行什麼行為:
同時,還會檢查當前系統環境來判斷自己是否在虛擬機環境中:
在確認可以正常運行後,廣告程序會先訪問指定的推廣服務器獲取推廣列表:
之後則根據推廣列表的內容打開一個淘寶頁面來推廣其淘寶店並彈出廣告彈窗:
寫入開機啟動項:
安裝大批推廣程序:
0x04 木馬作者追蹤
在整個木馬傳播過程中,有3個團體參與其中。 渠道由ISP負責,向頁面中插入廣告,它可以控制其全部用戶。 廣告商是來自上海的米勞傳媒,其控制下面幾個掛馬傳播服務器:
hxxp://www.muhlau.cn/1/index001.html
hxxp://majore.b0.upaiyun.com/06/media_1.html
hxxp://www.ip.muhlau.cn/LSQZA.swf
222.186.59.36
真正的木馬作者,控制著swf掛馬文件觸發之後的全部服務器: 服務器ip:58.218.205.91
hxxp://down.3g4s.net/files/DeskHomePage_179_1.exe
hxxp://down.seakt.com/tpl.exe
hxxp://tj.takemego.com:808
hxxp://tj.kissyouu.com:808
hxxp://tj.take1788.com
服務器ip:58.218.204.251
hxxp://down.shangshuwang.com/tpl.exe
對這些服務器whois查詢發現,服務器均為今年2月左右新註冊域名,並且均作了隱私保護,可謂非常之狡猾。
木馬作者使用的是微軟IIS+ASP的服務器:
通過掛馬服務器後臺發現,攻擊者來自四川省南充市 218.89.82.229(四川省南充市 電信) 2016/03/08 08:49:55 139.203.94.136(四川省南充市 電信)2016/03/08 13:25:39 對其進一步分析,我們獲取到了木馬作者的聯繫方式: 作者QQ:31577675xx(主號,不常用) 測試使用QQ5542447xx(不常用) 1256403xx主號(常用) 通過網上信息,可以看做作者已經從事黑產很多年了。
還有這個團伙使用的商務推廣聯盟 QQ1062790099
商務合作渠道QQ2797719791
通過獲取到的各方面信息,我們分析出了這個推廣團伙的策略手段。首先他們會通過廣告商購買渠道的廣告展示量,這個過程中,他們會選擇一些監管不嚴的廣告商,使自己帶有木馬的廣告不至於被發現。其次會選取客戶端軟件來展示廣告,由於大多數瀏覽器會升級flash插件,會影響其木馬傳播。攻擊者更青睞於防護脆弱的客戶端軟件,最後通過傳播的下載者推廣軟件和廣告變現。
安全建議
做為互聯網的基礎服務商,運營商應該注意自身行為,切莫使自己的商業廣告行為成為木馬傳播的幫兇;而各大客戶端軟件,更應該注重用戶計算機的安全體驗,做好自身漏洞的修復,及時更新所使用的第三方插件,不要再因為已知的軟件漏洞再給用戶帶來安全風險;作為責任的軟件廠商,也需要積極推進流量數據加密,來預防在通信過程中被劫持的情況發生;對於廣大用戶來說,使用一款靠譜的安全軟件,開啟軟件的實時防護尤為重要。
本文作者:Drops,轉載自:http://www.mottoin.com/detail/2516.html
閱讀更多 A1d2m3i4n5 的文章
