广告联盟变身挂马联盟 HackingTeam漏洞武器袭击百万网民

admin 2023-12-08 15:43:26 AnQuanKeInfo 来源:ZONE.CI 全球网 0 阅读模式

https://p3.ssl.qhimg.com/t01857cc99a7bb62987.jpg

情况介绍:

        在11月初,360互联网安全中心监控到一款名为“restartokwecha“的下载者木马拦截量暴增,而对其溯源发现,木马竟然来自1ting(一听音乐网)、stockstar(证劵之星)等多家国内知名网站。对这些网站进行分析发现,网站广告位展示的广告中包含了Hacking Team泄露的Flash漏洞中的一个漏洞利用挂马(CVE-2015-5122)。而该下载者木马,除了在用户计算机上安装多个恶意程序外,还会推广安装多款知名软件。由于国内大量电脑仍然没有及时升级Flash插件,造成木马可以大规模传播。

        360互联网安全中心在今年,已经多次捕获到国内大规模挂马行为,包括今年5月底的播放器广告位CVE-2014-6332挂马,今年7月中旬皮皮影音等CVE-2015-5122挂马,今年10月初,多家知名网站CVE-2015-5122Flash漏洞挂马。这些挂马事件,影响用户均超过百万,都是利用国内知名厂商平台进行传播,而幕后金主也包括国内多家大厂商。

攻击原理

        此类木马攻击,一般通过3种方式传播其木马站点,分别是攻击其他网站挂马;自建木马站点,通过广告链接SEO等导入流量;通过网站/联盟广告位方式挂马。

        例如,像下面这种,利用网站对发帖内容审核不严的问题,在帖子中加入其它站点的Flash元素,对网站进行挂马。

http://p4.qhimg.com/t01860db0c3cef91a35.png

        攻击者只需要在用户访问的页面中插入一个攻击者设定的Flash元素,即可完成攻击。而Flash内容,做为网页的富媒体内容,在互联网中有广泛应用,如果平台对媒体内容审核不严,极有可能出现被恶意利用,网站挂马的情况。

挂马网站攻击流程:

http://p9.qhimg.com/t01c8ad1928e2d701e9.png

案例分析

        对此次挂马事件,我们以国内某著名IT网站为例进行分析,还有多家知名网站也存在同类问题。

        挂马页面分析:

        该网站被挂马是因为其使用了“海云互通”广告联盟的广告内容,这个广告联盟为攻击者提供了广告推广的服务,最终造成在网站页面中嵌入木马的效果。

        首页,被挂马的主站,使用了自己站点pc***o下的内容:

https://p0.ssl.qhimg.com/t016028cdd8e20d2645.png

        Pc***o使用vamaker(万流客)管理其广告流量:

https://p1.ssl.qhimg.com/t015d94cf8f1adb7f59.png

        之后可以看到,vamaker引入了qtmojo(宽通广告)的代码,而宽通广告带入了出问题的“海云互通”(haiyunx)广告联盟内容:

http://p6.qhimg.com/t01dfa99e501aed0ada.png

        最终,我们在“海云互通”的代码中发现了接入木马服务器zyxtx.cn的代码:

http://p2.qhimg.com/t01c5902b58d9fff885.png

http://p5.qhimg.com/t01297d0d20c6f2eea8.png

        攻击者对其代码进行了重新编码,如图所示数组,即为其引入木马的隐藏代码:

http://p0.qhimg.com/t018d8a9be88254ab9c.png

        对这段代码进行解码之后,可以看到。攻击者为了达到隐藏攻击代码的意图,会在页面中引入一个游戏的Flash资源,将攻击代码伪装成“正常的游戏Flash页面”,在后面又悄悄引入了一个挂马Flash资源:

http://p7.qhimg.com/t01bd2c7116a7ee92e3.png

        在打开这个页面时,将展示一个正常的游戏页面,攻击代码则会在后台悄悄执行:

http://p9.qhimg.com/t01e22e9bc5e6662467.png

        在对此攻击进行分析时,这个木马服务器还挂着其它木马:

        218.186.59.89:8888

http://p2.qhimg.com/t01af2b237e5cc65542.png

         通过这种对页面代码做编码和伪装的方法,攻击者成功绕过了广告联盟和各大网站的审核(如果有的话~~),加挂马的代码通过各大网站展示给了普通计算机用户。如果用户访问到了这些网站,而又没打好补丁的话,就极有可能感染木马。


挂马漏洞分析:

        此次挂马,攻击者使用的仍然是之前Hacking Team泄露的CVE-2015-5122Flash漏洞,如果用户计算机中的Flash版本仍然是18.0.0.209之前的版本,就会触发漏洞执行。

对应的挂马Flash文件在一个月内,更新了超过20次:

http://p0.qhimg.com/t018b83ff32c70013bd.png

        此挂马文件在VirusTotal上只有McAfee和360能够检出:

http://p5.qhimg.com/t016ba8940b48bca25c.png

        swf样本用doswf加密过,解密之后,可以看到该样本的源码如下:

http://p8.qhimg.com/t012068b57713d16fb6.png

        漏洞触发代码如下:

http://p7.qhimg.com/t01869ab5efbb130bec.png

        通过对源码的跟踪,便能发现是cve-2015-5122的样本。

        在漏洞触发后使用的payload如下:

http://p0.qhimg.com/t011d4548de30523b0b.png

        反汇编出来的shellcode如下:

http://p0.qhimg.com/t01b723fcb4168aa8b2.png

        通过对shellcode进行调试分析发现该样本将会从file.nancunshan.com下载木马到本地浏览器临时目录,生成文件wecha_159_a.exe,并执行

http://p3.qhimg.com/t0150cdd825a3ec936e.png

        关于漏洞的详细分析,可以看我们之前的分析《Hacking Team攻击代码分析Part 4: Flash 0day漏洞第二弹 – CVE-2015-5122》(http://blogs.360.cn/360safe/2015/07/11/hacking-team-part4-Flash-2/)


Payload分析:

        此次挂马的传播木马,和以往几次大规模挂马类似,仍然是一个做为流氓软件推广器使用的下载者,这个下载者木马的制作手段老练,属于专业木马团伙制作。

        1.此木马更新速度很快,高峰时每小时都会更新一次文件,用来快速躲避查杀和监控。

        2.会检测和判断环境,在发现是虚拟机测试机的情况下,不执行作恶代码,躲避分析。

        3.频繁变更下载域名,躲避查杀。

        木马的统计和下载域名:

http://p0.qhimg.com/t01afb415a29a94c601.png

        木马的功能选项,包括弹广告,下载文件,重启程序,自删除等:

http://p6.qhimg.com/t016b883ac8e6534b86.png

        木马会枚举当前系统的进程列表,如果遇到虚拟机,影子系统,网吧等时,不执行下载者的功能。

http://p7.qhimg.com/t016e9768f3bd7dd406.png

        木马的下载列表也进行了编码,用来对抗分析:

http://p9.qhimg.com/t0155a23fd30c6f8643.png

        对这份列表进行解码,可以看到国内多款知名软件在列:

http://p3.qhimg.com/t016c5b35abad942306.png

下载者运行的进程树情况:

Process Tree

  • iexplore.exe 2404

    • iexplore.exe 2600

      • wecha_159_a.exe 2944

        • restartokwecha_159_a.exe 3092

        • xwiklit_552_setup.exe 3524

        • ADSafe.29096-2.exe 3756

        • cqss_1116.exe 1040

          • cq1.76.exe 2832

        • setup_B63_1.exe 3908

        • duba_3_802.exe 2628

        • QQPCDownload72845.exe 3116

        • MTViewbuildmtview_97.exe 520

        • 1.0.003-Install_121_123.exe 3460

          • KcProc.exe 1924

        • jywset_65_6.exe 3624

        推广的内容中,还包括快查这类恶意程序。

        注入系统进程,后台隐藏执行:

http://p1.qhimg.com/t0183dba6d80b0d91c4.png

http://p8.qhimg.com/t016a004eaec95bd19d.png

        创建虚假浏览器快捷方式,篡改用户首页:

http://p0.qhimg.com/t018d8c7d5a983ec181.png

        安装广告插件,在用户计算机不断弹出各类广告:

http://p1.qhimg.com/t01f354568a5b3dbcc4.png

http://p0.qhimg.com/t015425866ca5704bdf.png

此类下载者木马,由于其推广列表云控,推广内容也在不断免杀更新。攻击者通过不断向用户计算机推广各类软件,疯狂榨取用户计算机资源,赚取推广费。

数据统计

        此次大规模网页挂马,从十一月初开始,和上一轮大规模挂马(10月初的广告联盟挂马事件)为同一伙人所为。在之前挂马被杀之后,攻击者又卷土重来。根据360互联网安全中心统计,此次挂马,单日挂马页面拦截量超过170万次,单日受影响用户将近30万。单日木马拦截量超过4万次。

        近期CVE-2015-5122挂马页面拦截量:

http://p7.qhimg.com/t0157fd97709ed14235.png

        20日,单日木马拦截量变动

http://p3.qhimg.com/t0119e6e21c390cfe68.png

        受影响用户,分布情况:

http://p1.qhimg.com/t011f45d00c733bfcfa.png

解决方案:

        目前,我们在拦截挂马页面攻击的同时,已经联系广告联盟,去除带有挂马攻击的广告页面,要求联盟加强审核。

        对于广大网民来说,应及时更新系统和浏览器中的Flash插件,打好安全补丁,切莫被“打补丁会拖慢电脑”的谣言误导。对于没有更新Flash插件的浏览器,应该暂时停用。同时可以安装具有漏洞防护功能的安全防护软件,应对各类挂马攻击。

        对于国内各大软件厂商和网站/网盟平台厂商,也应该加强自身审核,不要让自身渠道成为木马传播的帮凶,严格审核平台中出现的广告内容,防止广告挂马。各个软件厂商,也需要规范自身推广渠道,不要成了木马黑产的幕后金主!

weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论:0   参与:  0