0x00 起因

---

從上週末開始，360網際網路安全中心監控到一批下載者木馬傳播異常活躍。到3月7號，攔截量已經超過20W次，同時網頁掛馬量的報警資料也急劇增加。在對木馬的追蹤過程中，我們發現木馬的傳播源頭竟然是各家正規廠商的軟體，其中來自英雄聯盟和QQLive的佔了前三天傳播量的95%以上。而在受感染使用者分佈中，河南竟佔到了72%。

木馬傳播源TOP：

\英雄聯盟\Air\LolClient.exe
\QQLiveBrowser.exe
\youkupage.exe
\QyFragment.exe
\QQGAME\SNSWebBrowser\IEProc.exe
\SogouInput\7.4.1.4880\SohuNews.exe

網上的使用者反饋：

0x01 掛馬過程分析

---

在對資料分析之後，我們確認，這次攻擊事件和去年透過影片客戶端掛馬是同一個團伙所為，使用的技術手段也比較相似。（《禍起蕭牆：由播放器引爆的全國性大規模掛馬分析》http://blogs.360.cn/360safe/2015/06/26/trojan-pass-player/）本次木馬傳播，主要是透過運營商（ISP）對使用者的網路訪問做內容劫持，在html程式碼中插入一段iframe的廣告程式碼所引起的。在這段廣告程式碼中，為客戶端引入了帶掛馬攻擊的flash檔案。而國內仍有很多桌面客戶端使用舊版帶有漏洞的flash外掛，如英雄聯盟，QQLive等。flash的漏洞，造成了這些客戶端本身易受攻擊，而客戶端本身也沒有做安全防護，沒有對通訊進行加密，在ISP的攻擊面前不堪一擊。如果使用者計算機此時又沒有安裝帶有漏洞防護功能的安全軟體，就會造成使用者計算機被感染。

從聯絡到的使用者那裡來看，使用者的出口IP屬於河南鄭州行動網路：

在聯絡使用者追查問題的時候，發現使用者開啟任何網頁的時候都有可能中毒，顯然並不是特定網站被掛馬導致的。該使用者在開啟了一個鳳凰網新聞頁面的時候便觸發了木馬，於是我們檢視該網頁，發現瞭如下程式碼：

很顯然，在一個itemscope的div元素下，出現了一個指向majore.b0.upayun.com的指令碼元素和一段iframe嵌入頁面。

而在分析人員自己的機器中（北京市電信）訪問相同的頁面，則顯然沒有這兩個元素：

更為關鍵的是iframe中又嵌入了一層iframe指向muhlau.cn這個域名。為了方便檢視，我們單獨開啟了這個頁面，呈現出來的是一個看似正常的flash廣告動畫，但仔細看程式碼發現——這裡面還有兩層iframe巢狀，而在最裡層的，是一個根本看不到的flash檔案（截圖中紅框圈出來的就是這個看不見的flash檔案的位置）

同時，檢視瀏覽器的Network監控，也確認確實載入了這個swf檔案：

拿到swf檔案後分析來看，本身並沒有什麼實質性的動畫內容，反倒是含有一段經過doswf加密的指令碼：

透過抓取記憶體dump可以看到明顯的shellcode字串以及載入shellcode的程式碼：

含有惡意程式碼的flash檔案一旦被帶有漏洞的flash外掛展示，便會觸發木馬下載動作，從3g4s.net域名下獲取一個可執行檔案，下載到本地並執行。

0x02 掛馬資料展示

---

此次掛馬，攻擊者透過“上海米勞廣告傳媒有限公司”投放的廣告內容。

主要的掛馬頁面：

• hxxp://www.muhlau.cn/1/index001.html
• hxxp://majore.b0.upaiyun.com/06/media_1.html

所掛的flash木馬：

• hxxp://www.ip.muhlau.cn/LSQZA.swf

伺服器地址：222.186.59.36(江蘇省鎮江市 電信)

截至我們發稿時，flash攻擊程式碼已經有超過1000W次的獨立使用者訪問。單在3月9號一天，就有534W獨立使用者訪問到了掛馬頁面。

一分鐘內，有超過6800次的訪問。

掛馬頁面的引用來源，主要是廣告主的廣告跳轉頁面：

地區分佈可以看出，河南佔65%以上：

防護中心3月9日，單天統計到的木馬傳播趨勢：

0x03 木馬分析

---

此次木馬傳播者準備了大量木馬的免殺版本，在對抗過程中，高峰時木馬每分鐘均會更新一個版本，並針對多款安全軟體做免殺處理。木馬本身是一個簡單下載者加廣告程式，但更新極為頻繁，僅3月9號一天就更新超過300次。

客戶端被flash掛馬之後下載執行木馬的情況截圖：

捕獲的各種掛馬程式：

360安全衛士攔截木馬啟動：

被惡意flash檔案下載到本地後以ad為引數執行；而廣告程式透過判斷啟動引數來決定執行什麼行為：

同時，還會檢查當前系統環境來判斷自己是否在虛擬機器環境中：

在確認可以正常執行後，廣告程式會先訪問指定的推廣伺服器獲取推廣列表：

之後則根據推廣列表的內容開啟一個淘寶頁面來推廣其淘寶店並彈出廣告彈窗：

寫入開機啟動項：

安裝大批推廣程式：

0x04 木馬作者追蹤

---

在整個木馬傳播過程中，有3個團體參與其中。
渠道由ISP負責，向頁面中插入廣告，它可以控制其全部使用者。
廣告商是來自上海的米勞傳媒，其控制下面幾個掛馬傳播伺服器：

hxxp://www.muhlau.cn/1/index001.html
hxxp://majore.b0.upaiyun.com/06/media_1.html
hxxp://www.ip.muhlau.cn/LSQZA.swf
222.186.59.36

真正的木馬作者，控制著swf掛馬檔案觸發之後的全部伺服器：
伺服器ip：58.218.205.91

hxxp://down.3g4s.net/files/DeskHomePage_179_1.exe
hxxp://down.seakt.com/tpl.exe
hxxp://tj.takemego.com:808
hxxp://tj.kissyouu.com:808
hxxp://tj.take1788.com

伺服器ip：58.218.204.251

hxxp://down.shangshuwang.com/tpl.exe

對這些伺服器whois查詢發現，伺服器均為今年2月左右新註冊域名，並且均作了隱私保護，可謂非常之狡猾。

木馬作者使用的是微軟IIS+ASP的伺服器：

透過掛馬伺服器後臺發現，攻擊者來自四川省南充市

218.89.82.229（四川省南充市 電信） 2016/03/08 08:49:55
139.203.94.136（四川省南充市 電信）2016/03/08 13:25:39
對其進一步分析，我們獲取到了木馬作者的聯絡方式：
作者QQ：31577675xx（主號，不常用）
測試使用QQ5542447xx（不常用）
1256403xx主號（常用）

透過網上資訊，可以看做作者已經從事黑產很多年了。

還有這個團伙使用的商務推廣聯盟 QQ1062790099

商務合作渠道QQ2797719791

透過獲取到的各方面資訊，我們分析出了這個推廣團伙的策略手段。首先他們會透過廣告商購買渠道的廣告展示量，這個過程中，他們會選擇一些監管不嚴的廣告商，使自己帶有木馬的廣告不至於被發現。其次會選取客戶端軟體來展示廣告，由於大多數瀏覽器會升級flash外掛，會影響其木馬傳播。攻擊者更青睞於防護脆弱的客戶端軟體，最後透過傳播的下載者推廣軟體和廣告變現。

安全建議

做為網際網路的基礎服務商，運營商應該注意自身行為，切莫使自己的商業廣告行為成為木馬傳播的幫兇；而各大客戶端軟體，更應該注重使用者計算機的安全體驗，做好自身漏洞的修復，及時更新所使用的第三方外掛，不要再因為已知的軟體漏洞再給使用者帶來安全風險；作為責任的軟體廠商，也需要積極推進流量資料加密，來預防在通訊過程中被劫持的情況發生；對於廣大使用者來說，使用一款靠譜的安全軟體，開啟軟體的實時防護尤為重要。