仿軟件、劫網(wǎng)站、插廣告、竊隱私，還有什么是他不敢干的？

時(shí)間：2023-04-24 05:21:01 | 來源：網(wǎng)站運(yùn)營

時(shí)間：2023-04-24 05:21:01 來源：網(wǎng)站運(yùn)營

仿軟件、劫網(wǎng)站、插廣告、竊隱私，還有什么是他不敢干的？：




近期，360政企安全接到大量用戶反饋，在訪問網(wǎng)站時(shí)被強(qiáng)行插入廣告，且部分無法關(guān)閉。經(jīng)分析發(fā)現(xiàn)，是一些瀏覽器惡意擴(kuò)展在正常訪問的網(wǎng)站中強(qiáng)插廣告導(dǎo)致，進(jìn)一步溯源發(fā)現(xiàn)，這些瀏覽器擴(kuò)展來源主要是搜索推廣的惡意下載器軟件攜帶安裝的。




對(duì)這些下載器分析，我們發(fā)現(xiàn)惡意下載器仿冒了超過3500款軟件，涵蓋辦公、行業(yè)、設(shè)計(jì)、媒體等常見類型，其在啟動(dòng)后會(huì)靜默向?yàn)g覽器安裝惡意擴(kuò)展，該擴(kuò)展通過云控在用戶訪問的其它網(wǎng)站中插入廣告、劫持電商、導(dǎo)航、私服等超過6000個(gè)網(wǎng)站，此外擴(kuò)展還會(huì)收集用戶的上網(wǎng)數(shù)據(jù)甚至?xí)占脩粼?60論壇、QQ電腦管家論壇的發(fā)貼反饋情況；所有劫持規(guī)則均通過云端下發(fā)并使用AES、DES進(jìn)行加密。




樣本分析

01

木馬來源




下面以其中一個(gè)“Microsoft Office Word 2010破解版@377.exe”為例進(jìn)行分析：







首先，下載頁面會(huì)判斷Referer是否來自于搜索引擎以及地區(qū)等信息后才會(huì)返回木馬下載器的下載鏈接，并且?guī)缀趺看握?qǐng)求到的木馬下載器的Hash值都不一樣，猜測是以此來躲避一些自動(dòng)抓取和自動(dòng)分析工具。







木馬下載器被下載到本地執(zhí)行后，界面如下圖所示：







而如果分析人員直接訪問該頁面，則會(huì)返回普通的下載器的下載鏈接：







我們通過腳本提取到被該木馬偽裝的其它軟件，發(fā)現(xiàn)有超過3500款，涉及到的辦公類軟件超過40款







上面提到涉及到的超過40款辦公類軟件如下:










02

代碼分析

Ⅰ

檢測環(huán)境，

大量推裝軟件、木馬，篡改瀏覽器首頁




木馬一旦開始運(yùn)行，會(huì)首先通過遠(yuǎn)程鏈接獲取后續(xù)工作所需的配置文件







獲取到配置文件后，會(huì)先根據(jù)其中內(nèi)容檢測殺軟、常用抓包工具、ARK工具，甚至還會(huì)檢測遠(yuǎn)程桌面、遠(yuǎn)程協(xié)助等工具。







檢測當(dāng)前系統(tǒng)環(huán)境后，會(huì)從配置文件中解出需要推廣的程序下載鏈接列表。這些程序中除一般意義上的推廣程序外，也會(huì)帶有一些其他木馬程序。







此外，木馬還會(huì)篡改瀏覽器首頁。篡改的地址為從云控配置中解密出的這些鏈接中選擇其一。










Ⅱ

安裝擴(kuò)展，劫持網(wǎng)站，竊取隱私




木馬在完成上述工作后，會(huì)連接云端靜默安裝惡意瀏覽器擴(kuò)展文件，劫持導(dǎo)航、電商、私服等網(wǎng)站、收集用戶上網(wǎng)數(shù)據(jù)甚至?xí)占脩羧グ踩浖搲姆答佇畔?，通過云控配置會(huì)隨機(jī)化擴(kuò)展的名稱、版本號(hào)等信息以對(duì)抗殺軟的清理。




木馬在完成上述工作后，會(huì)連接云端獲取到大量惡意瀏覽器擴(kuò)展文件進(jìn)行靜默安裝。







被安裝的擴(kuò)展代碼進(jìn)行了大量混淆，用于劫持的關(guān)鍵代碼均從云端實(shí)時(shí)獲取且進(jìn)行了多層的加密，甚至每一層加密都使用不同的加密密鑰：







解密出其中一個(gè)云控的劫持規(guī)則會(huì)劫持多個(gè)導(dǎo)航及搜索頁面







此外，我們還發(fā)現(xiàn)了劫持電商網(wǎng)站的部分代碼：





不同版本的劫持規(guī)則會(huì)略有差異，下圖為另一個(gè)版本解密出的劫持規(guī)則代碼




在劫持頁面的同時(shí)，這些瀏覽器擴(kuò)展還會(huì)嘗試模擬鼠標(biāo)點(diǎn)擊導(dǎo)航頁面，以此增加點(diǎn)擊量賺取更多傭金。







更有甚者，代碼還收集了用戶在360論壇、QQ電腦管家論壇中發(fā)貼情況，以及在http://VirSCAN.org網(wǎng)站提交樣本掃描的文件信息。猜測是收集用戶去這兩個(gè)論壇反饋木馬問題以及是否將其木馬文件提交檢測。




監(jiān)控對(duì)安全論壇及多引擎掃描網(wǎng)站的訪問情況










同樣的，木馬還會(huì)將用戶在瀏覽器地址欄中輸入的URL地址回傳到自身服務(wù)器。







還有一個(gè)版本的擴(kuò)展會(huì)通過云控判斷地區(qū)，并在特定地區(qū)用戶的正常訪問頁面中插入一個(gè)300x300的浮動(dòng)廣告。










安全提示




安裝有360的用戶無需擔(dān)心，360可輕松攔截此類木馬攻擊。







安全建議




360安全大腦建議廣大用戶：

1. 盡量選擇官網(wǎng)等正規(guī)渠道安裝軟件，以免自己的電腦成為不法分子控制劫持的工具。
2. 如發(fā)現(xiàn)瀏覽器被插入惡意廣告，訪問正常網(wǎng)站出現(xiàn)自動(dòng)跳轉(zhuǎn)到帶計(jì)費(fèi)鏈接的網(wǎng)站時(shí)盡快使用安全軟件進(jìn)行查殺。
3. 開啟瀏覽器中 “自動(dòng)停用來源不明的擴(kuò)展”功能。

IOCs（部分）

01

HASH




844731eee1196d014169fb756ef7863e950e5ea0a8e80d154b1afe96d8b1829a




02

URLs




http://pl.khl666[.]com/dxtw/kblr.htm?

http://dl.khl666[.]com/kz/bd11122117/NA3GVPU1Ax .cfg

http://pz.antsysht[.]com/config

https://mmq.nuobeiliao[.]com/ext/logo-a.png?_=1616491499123




03

CRX IDs




cgolhhnfballfndeflinfanccpjikdmi

ankenbdhlppgkfmabdmbfdokacfpnhea

eopeikmffmlmgleomnimojfpigfjpjab

kaahkldkddbnidfalodnlbdlbcmkbkfj

ljljknaclekggpkbbjpbhjacgcngfcgp

gabccfgplagmjhahelcodjflcpaadldk

hcppkcennmjaafoffcpjnmpepepcklbg

kkjjdgmjadhdlcpebcjfppmefkmhjbio

egnlheliebooaeheaoabldecpmcneehp

bbpabafaggklfannggfocipmnogbojam

gadhochknhbcnklhdohlmdeidlfogbad

comfmchjneommdoncjhagbkidolibgil

hhkjfpeknmpgghnoojenpkjhginoomjp

hkoopbbimnmoelagpjeoamgahnccmggc

kkpidjggcleolfljongchppheeoibeca

mjegnnlmmolelplmadidfccgbhokmhpo

lehjanbmddecbhgnnncapflmglinppcj

figbiejimdgnhdefdigjmcgfbhppcmlh

jjmnodmnjioloohkajephjnljefnpofk

npdmbbiopnooephgmjlebjgkkhljambm

anamdmjnllfgnoamcnlafmhemfcppbbc