電信、百度源碼疑遭泄漏，“驅(qū)魔家族”竊取隱私再起波瀾

時(shí)間：2023-06-22 18:21:02 | 來(lái)源：網(wǎng)站運(yùn)營(yíng)

時(shí)間：2023-06-22 18:21:02 來(lái)源：網(wǎng)站運(yùn)營(yíng)

電信、百度源碼疑遭泄漏，“驅(qū)魔家族”竊取隱私再起波瀾：

當(dāng)你剛看完某產(chǎn)品網(wǎng)頁(yè)，廠家就來(lái)加你QQ、微信進(jìn)行推銷，究竟是他們料事如神，還是另有隱情？

一、概述

在2018年12月份，毒霸安全團(tuán)隊(duì)對(duì)外披露了主要進(jìn)行 “流量暗刷與劫持”攻擊的僵尸網(wǎng)絡(luò)“驅(qū)魔”家族(報(bào)告鏈接)，該家族從2017年開(kāi)始逐步走向活躍，通過(guò)頻繁變換流氓宿主外殼進(jìn)行傳播，預(yù)估全網(wǎng)感染用戶超過(guò)500萬(wàn)，成為近年國(guó)內(nèi)活躍僵尸網(wǎng)絡(luò)中的佼佼者，其云控功能日漸強(qiáng)大，僅當(dāng)前活躍推送的功能插件就已超過(guò)70余款。

從毒霸“捕風(fēng)”系統(tǒng)近期的監(jiān)控?cái)?shù)據(jù)看，“驅(qū)魔”家族被我們曝光披露以后，其幕后團(tuán)隊(duì)并沒(méi)有停止傳播和病毒功能的迭代，近期我們?cè)俅伪O(jiān)控到其推送“電商暗刷模塊”的更新變種。新版本除了原有的“淘寶天貓暗刷”，新加入了隱私竊取功能，能夠?qū)崟r(shí)監(jiān)控收集用戶電腦中的微信號(hào)、QQ號(hào)、瀏覽器歷史記錄以及當(dāng)前操作窗口信息等個(gè)人隱私，雖然尚不知道這些隱私數(shù)據(jù)究竟將如何被黑產(chǎn)利用，但我們推測(cè)病毒作者收集瀏覽器記錄與用戶聯(lián)系方式，極有可能用于對(duì)用戶的習(xí)慣、網(wǎng)絡(luò)行為的標(biāo)簽分析，進(jìn)行定制廣告推送和網(wǎng)絡(luò)營(yíng)銷推廣活動(dòng)，甚至可能被打包出售給第三方黑產(chǎn)團(tuán)伙，對(duì)特定的用戶群體進(jìn)行精準(zhǔn)釣魚詐騙攻擊等。

加入隱私竊取功能的新版“天貓?zhí)詫毎邓ⅰ辈寮?，運(yùn)行流程如下：

二、溯源分析

我們對(duì)上圖中用于收集用戶隱私的“ImgViewer.dll”進(jìn)行分析時(shí)，意外發(fā)現(xiàn)其文件版本信息標(biāo)注為“小翼看圖主程序”，版權(quán)信息為“China Telecom(中國(guó)電信)” ,通過(guò)內(nèi)部溯源系統(tǒng)搜索匹配，我們發(fā)現(xiàn)“中國(guó)電信”旗下多款軟件和隱私收集模塊“ImgViewer.dll”的代碼相似度極高，數(shù)據(jù)上報(bào)的字段格式也完全一致，但通過(guò)病毒C&C服務(wù)器等其他方面的關(guān)聯(lián)，暫未發(fā)現(xiàn)和中國(guó)電信存在直接關(guān)系，所以我們懷疑該病毒模塊的作者通過(guò)某種渠道(比如“曾經(jīng)就職”)，掌握有中國(guó)電信旗下部分客戶端/服務(wù)端源碼，并加以改造用于制作竊取用戶隱私的病毒，另外在該病毒模塊的代碼中，我們還發(fā)現(xiàn)“百度”旗下部分客戶端的基礎(chǔ)調(diào)試日志函數(shù)庫(kù)代碼痕跡，整個(gè)“驅(qū)魔”病毒家族疑點(diǎn)重重，其制作傳播背景愈發(fā)撲朔迷離。

以下通過(guò)“中國(guó)電信”旗下的“桌面3D動(dòng)態(tài)天氣”和“百度”旗下的“百度殺毒”進(jìn)行對(duì)比，相關(guān)文件信息如下:

對(duì)比結(jié)論如下：

① 隱私收集模塊“ImgViewer.dll”的數(shù)據(jù)上報(bào)代碼邏輯和電信“桌面3D動(dòng)態(tài)天氣”模塊高度相似：

② 隱私收集模塊“ImgViewer.dll”計(jì)算設(shè)備GUID的算法和電信“桌面3D動(dòng)態(tài)天氣”模塊一致，并且保存路徑均為“/ProgramData/ChinaTelecom/Common/Global.db”，執(zhí)行流程圖對(duì)比如下：

③ 隱私收集模塊“ImgViewer.dll”、電信“桌面3D動(dòng)態(tài)天氣”模塊以及百度殺毒W(wǎng)eb安全組件“WebSafePlugin.dll”，均包含相同的日志庫(kù)函數(shù)代碼（下圖從左往右依次是病毒模塊、中國(guó)電信、百度殺毒的文件）：

三、樣本分析

新版插件原有的“天貓?zhí)詫毎邓ⅰ惫δ懿辉儋樖觯斍榭梢?jiàn)我們之前的披露報(bào)告《揭秘“驅(qū)魔”家族：全國(guó)最大的暗刷僵尸網(wǎng)絡(luò)上線了》。此處我們重點(diǎn)對(duì)新加入的隱私收集模塊“ImgViewer.dll”進(jìn)行分析，該模塊文件直接嵌入在插件的全局變量中，通過(guò)新建線程進(jìn)行反射加載載入內(nèi)存運(yùn)行。

該DLL文件中包含3個(gè)導(dǎo)出函數(shù)，其中主要使用的有兩個(gè)，一個(gè)是EnableData函數(shù)，它的作用為控制標(biāo)記數(shù)據(jù)上報(bào)開(kāi)關(guān)，以決定后續(xù)是否上傳數(shù)據(jù)。另一個(gè)則是DllEntryPoint函數(shù)，主要負(fù)責(zé)創(chuàng)建一個(gè)線程，用來(lái)收集QQ號(hào)、微信號(hào)、窗口名稱以及瀏覽器歷史記錄。

病毒收集QQ號(hào)和微信號(hào)的方式可謂十分簡(jiǎn)單，通過(guò)讀取軟件默認(rèn)的安裝路徑下（%APPDATA%/Tencent/QQ/Misc和%TEMP%/WeChat Files）的文件名，即可獲得對(duì)應(yīng)的QQ號(hào)和微信號(hào)：

如果檢測(cè)到電腦上安裝了以下的瀏覽器，則會(huì)對(duì)使用者的上網(wǎng)記錄進(jìn)行全方位的記錄，被竊取記錄的瀏覽器如下：

一旦找到對(duì)應(yīng)的瀏覽器，病毒則會(huì)直接定位到相應(yīng)瀏覽器的歷史記錄文件夾，利用ReadDirectoryChangesW監(jiān)控目錄狀態(tài)是否發(fā)生改變，若變化則讀取相應(yīng)歷史記錄文件的數(shù)據(jù)，而瀏覽器的歷史記錄文件，通常都是一個(gè)SQLite格式的數(shù)據(jù)庫(kù)，沒(méi)有特殊加密，所以只需要通過(guò)相應(yīng)的SQL語(yǔ)句，即可獲得訪問(wèn)的網(wǎng)址信息，下圖則為讀取的歷史記錄信息：

最終，收集完上述的信息后，病毒會(huì)按照一定的格式，將數(shù)據(jù)上傳到http://dama57.com/query.php頁(yè)面，部分相關(guān)字段的說(shuō)明如下：

• GUID:電腦標(biāo)識(shí)
• CK：用于區(qū)分上報(bào)類型，400為上報(bào)微信號(hào)、QQ號(hào)、當(dāng)前打開(kāi)窗口；410為上報(bào)當(dāng)前訪問(wèn)的網(wǎng)址
• d0：QQ號(hào)
• d1：微信號(hào)或者窗口名稱
• d2：網(wǎng)址URL或者窗口名稱

該域名的持有者為“泰安大周網(wǎng)絡(luò)科技有限公司”，相關(guān)備案信息如下：

至此，信息的收集上報(bào)全部完成，而相關(guān)的信息收集線程則是一直循環(huán)執(zhí)行，只要不結(jié)束進(jìn)程，則電腦上的相關(guān)信息會(huì)一直上傳。

四、IOC

“驅(qū)魔”家族數(shù)字簽名:

杭州臻璞網(wǎng)絡(luò)科技有限公司

杭州市史賓賽科技有限公司

杭州市盛豪霆科技有限公司

杭州市云舒三黑科技有限公司

杭州博奧路通科技有限公

杭州眾耀科技有限公司

杭州市博游天下科技有限公司

廣西同城網(wǎng)絡(luò)科技有限責(zé)任公司

杭州樂(lè)港網(wǎng)絡(luò)科技有限公司

Shanghai Manjia Network Technology Co. Ltd.

URL:

http://dama57.com