0x00 源起

---

從3月5日開始，騰訊反病毒實驗室監控到大量知名軟體客戶端存在釋放下載器病毒的異常資料，預示著可能存在透過掛馬方式大規模攻擊知名軟體客戶端的行為。電腦管家緊急對相關資料進行分析排查，最終發現這是一起綜合利用運營商監控缺失、網路廣告商稽核不嚴、客戶端軟體存在安全漏洞等多重因素進行的大規模網路攻擊，其攻擊方式就多達3種（參見下圖）。

0x01 分析過程

---

1. 攻擊方式一（某運營商客戶端）：商業廣告掛馬

從資料中找到線索，其中較大的一個推廣渠道竟然是某運營商客戶端的speedup模組。管家工程師陷入了思考: 新的0day漏洞被利用？區域性地區運營商劫持？

透過分析部分使用者IP，發現確實均為某運營商使用者，並且使用者分佈較廣，卻不是聚集在區域性地區。

管家開始模擬環境安裝此軟體，安裝後軟體正常拉起speedup模組。

speedup.exe程式內嵌了ie控制元件，但是並沒有顯示對應視窗，會不會是個隱藏廣告？

使用工具強制將視窗顯示，效果如下，看起來是一個普通的遊戲廣告。

再進一步分析，獲取廣告連結的伺服器地址硬編碼在speedup.exe內，然後在內建的瀏覽器中每隔數分鐘獲取一次廣告url，拉取廣告後在記憶體中顯示，由於廣告視窗屬性為隱藏，使用者完全無法察覺廣告的存在。

順著這條線索，我們不斷抓包分析，最終發現廣告會訪問到一個可疑頁：hxxp://www.ip.u****.com.cn/index.html直接訪問這個頁面，表面上看也是一個普通的遊戲flash廣告。

檢視頁面原始碼後，其中兩處呼叫引起了我們關注

（1）hxxp://www.ip.u****com.cn/LSQZA.swf

透過反編譯，發現LSQZA.swf加了doswf殼

從記憶體dump中獲取真正的惡意swf檔案

反編譯程式碼分析，發現該木馬利用的是CVE-2015-5122漏洞

漏洞最終載入的Playload的主要功能是下載silence_eq014.exe並執行。

CVE-2015-5122技術細節 http://www.cvedetails.com/cve/2015-5122

（2）hxxp://www.ip.u****.com.cn/GXRP.html

GXRP.html的內容是一段轉碼指令碼

解碼後可發現該指令碼是著名的ie神洞CVE-2014-6332 利用程式碼。

漏洞最終載入的Playload功能是下載並執行silence_eq014.exe

值得注意的是，微軟釋出的CVE-2014-6332漏洞修復補丁並不包含xp系統，因此xp系統使用者被此漏洞攻擊時，如果沒有安全軟體保護，很容易被攻擊成功。CVE-2014-6332技術細節 http://www.cvedetails.com/cve/2014-6332

該廣告頁同時利用了兩個漏洞進行掛馬以提高掛馬的成功率，兩種攻擊方式最終目的一致——觸發下載木馬安裝器，下載地址: hxxp://download.xin*****rj.cn/download/silence_eq014.exe

地址中“014”替換為“001”到“013”之間任意字串後連結仍然有效，顯然silence_eq病毒傳播方式除了廣告掛馬，還可能存在其它推廣方式。

silence_eq系列病毒為了儘可能躲避殺軟攔截，採用自動化、高頻化生成變種的方式進行免殺。更新頻率約10s一次，按現有渠道量統計，24小時變種數量可高達12萬之多。

（3）silence_eq木馬分析

這是一個常見的下載器木馬，主要目的十分簡單——從下載列表拉取對應推廣軟體安裝包執行。

分析到下載列表: hxxp://115******30.228:8090/1.txt

包含多款軟體下載地址

直接訪問 hxxp://115******30.228:8090，頁面title為“統計後臺管理”猜測是統計推廣軟體的下載量。

我們使用“技術手段”破解密碼後登陸，3月12日當天17:00感染量顯示超過2w。由於可以清空統計，這一感染量可能遠低於真實情況。

２.　攻擊方式二（某遊戲）：定向劫持特定內容

找到一個出現問題的遊戲玩家，在電腦上抓包和程式監控，最終發現正常訪問的http://im****he.gtimg.cn/*****_v1/tvp/js/tvp.player_v2_jq.js竟然被劫持。

劫持的JS程式碼如下。首先會去下載正常的tvp.player_v2_jq.js。然後最後會拉取 http://im****he.gtimg.cn/*****_v1/tvp/js/tvp.player_v2_jq.js

hxxp://home.b*****dn2.com/06/main.js會進一步下載其他JS。

一層層定位到關鍵的掛馬頁面：hxxp://www.m****u.cn/1/index001.html

最終觸發的惡意漏洞檔案“LSQZA.swf”是不是很眼熟？與攻擊方式1中的惡意swf檔名字完全相同，顯然是同一個病毒團伙。

後續觸發漏洞的方式與1稍有不同，只利用了CVE-2015-5112 flash漏洞。攻擊成功後釋放並拉起名為“DeskHomePage_179_1.exe”的下載器病毒。

最終安裝大量推廣軟體，觸發廣告彈窗騷擾使用者。

中招的使用者可以使用管家防毒功能清理掉上述推廣軟體。

３.　攻擊方式三：訪問任意網頁，隨機插入掛馬廣告頁面

方式與2基本相同，區別在於攻擊方式不是劫持特定資料，而是在網路請求訪問資料中隨機插入掛馬廣告頁面。任何客戶端軟體發起的任何網路訪問都可能被汙染，如果使用者使用未打補丁的系統或者存在flash漏洞的軟體（如瀏覽器）則會中招，因此殺傷力極大。此攻擊方式已知的最終掛馬頁面與攻擊方式二相同。

0x02 資料監控

---

前期攻擊主要以“定向劫持某遊戲資料”（攻擊方式2）為主，受影響為某運營商使用者。三月9日開始，掛馬集團使用“商業廣告掛馬”（攻擊方式1）加大了對全國各地另一運營商使用者的攻擊力度。

DeskHomePage木馬以河南省受到的影響最大。

silence_eq木馬和敲詐者木馬針對某運營商使用者，受影響使用者無區域聚集現象。

0x03 總結和建議

---

此次大規模漏洞攻擊涉及到兩大運營商和多款知名軟體，攻擊範圍之廣在中國網際網路歷史上極其罕見，其中受影響最深的是河南省使用者。截至到3.14日，攻擊中涉及的部分下載站仍然活躍，還在不斷更新資料。

騰訊反病毒實驗室認為，這三種攻擊方式集中利用了中國網際網路各方當前的安全弱點：

（1）運營商在提供網際網路資料服務時，首先要確保資料安全性。對自身各節點提供的資料應建立更完善的監控，避免再出現部分地區大規模的網路訪問內容被劫持的問題。管家已經主動聯絡相關運營商並提供更多細節資訊，協助運營商定位問題和開發後續防範措施。

（2）正規軟體廠商除了確保使用者資料安全外，應更重視客戶端與服務端之間資料通訊安全，如使用https替換易被篡改內容的http協議；及時更新自身存在安全隱患的元件，尤其是經常被攻擊者利用的flash元件。早期攻擊者更多攻擊存在漏洞的flash元件的瀏覽器，在瀏覽器廠商重視相關問題主動升級flash版本後，防禦相對滯後的客戶端軟體將成為當前重點攻擊目標。

（3）廣告聯盟公司應加強對旗下發布各類廣告的安全監管，尤其是容易被利用的flash廣告安全性，防止自身被攻擊者利用，變成木馬傳播平臺。

（4）廣大使用者朋友應注意及時使用安全軟體安裝系統最新補丁。由於微軟已不再支援xp系統漏洞修復，建議xp使用者儘早升級使用Win7或者Win10等安全性更高的系統。