0x00 情況介紹

---

在11月初，360網際網路安全中心監控到一款名為“restartokwecha“的下載者木馬攔截量暴增,而對其溯源發現，木馬竟然來自PConline（太平洋電腦網），1ting（一聽音樂網），stockstar（證劵之星）等一批知名網站。對這些網站進行分析發現，網站廣告位展示的廣告中包含了Hacking Team洩露的Flash漏洞中的一個漏洞利用掛馬（CVE-2015-5122）。而該下載者木馬，除了在使用者計算機上安裝多個惡意程式外，還會推廣安裝多款知名軟體。由於國內大量電腦仍然沒有及時升級Flash外掛，造成木馬可以大規模傳播。

360網際網路安全中心在今年，已經多次捕獲到國內大規模掛馬行為，包括今年5月底的播放器廣告位CVE-2014-6332掛馬，今年7月中旬皮皮影音等CVE-2015-5122掛馬，今年10月初，多家知名網站CVE-2015-5122Flash漏洞掛馬。這些掛馬事件，影響使用者均超過百萬，都是利用國內知名廠商平臺進行傳播，而幕後金主也包括國內多家大廠商。

0x01 攻擊原理

---

此類木馬攻擊，一般透過3種方式傳播其木馬站點，分別是攻擊其他網站掛馬；自建木馬站點，透過廣告連結SEO等匯入流量；透過網站/聯盟廣告位方式掛馬。

例如，像下面這種，利用網站對發帖內容稽核不嚴的問題，在帖子中加入其它站點的Flash元素，對網站進行掛馬。

攻擊者只需要在使用者訪問的頁面中插入一個攻擊者設定的Flash元素，即可完成攻擊。而Flash內容，做為網頁的富媒體內容，在網際網路中有廣泛應用，如果平臺對媒體內容稽核不嚴，極有可能出現被惡意利用，網站掛馬的情況。

掛馬網站攻擊流程：

0x02 案例分析

---

對此次掛馬事件，PConline因為整站掛有此類木馬，受影響使用者最多，我們以PConline為例做了分析，國內還有多家知名網站也存在同樣問題。

掛馬頁面分析

PConline被掛馬，是因為其使用了“海雲互通”廣告聯盟的廣告內容，這個廣告聯盟為攻擊者提供了廣告推廣的服務，最終造成在PConline的頁面中嵌入木馬的效果。

首頁，PConline的主站，使用了自己站點pcauto下的內容：

Pcauto使用vamaker（萬流客）管理其廣告流量：

之後可以看到，vamaker引入了qtmojo（寬通廣告）的程式碼，而寬通廣告帶入了出問題的“海雲互通”（haiyunx）廣告聯盟內容：

最終，我們在“海雲互通”的程式碼中發現了接入木馬伺服器zyxtx.cn的程式碼：

攻擊者對其程式碼進行了重新編碼，如圖所示陣列，即為其引入木馬的隱藏程式碼：

對這段程式碼進行解碼之後，可以看到。攻擊者為了達到隱藏攻擊程式碼的意圖，會在頁面中引入一個遊戲的Flash資源，將攻擊程式碼偽裝成“正常的遊戲Flash頁面”，在後面又悄悄引入了一個掛馬Flash資源：

在開啟這個頁面時，將展示一個正常的遊戲頁面，攻擊程式碼則會在後臺悄悄執行：

在對此攻擊進行分析時，這個木馬伺服器還掛著其它木馬：

218.186.59.89:8888

透過這種對頁面程式碼做編碼和偽裝的方法，攻擊者成功繞過了廣告聯盟和各大網站的稽核（如果有的話~~），加掛馬的程式碼透過各大網站展示給了普通計算機使用者。如果使用者訪問到了這些網站，而又沒打好補丁的話，就極有可能感染木馬。

掛馬漏洞分析

此次掛馬，攻擊者使用的仍然是之前Hacking Team洩露的CVE-2015-5122Flash漏洞，如果使用者計算機中的Flash版本仍然是18.0.0.209之前的版本，就會觸發漏洞執行。對應的掛馬Flash檔案在一個月內，更新了超過20次：

此掛馬檔案在VirusTotal上只有McAfee和360能夠檢出：

swf樣本用doswf加密過，解密之後，可以看到該樣本的原始碼如下：

漏洞觸發程式碼如下：

透過對原始碼的跟蹤，便能發現是cve-2015-5122的樣本。

在漏洞觸發後使用的payload如下：

反彙編出來的shellcode如下：

透過對shellcode進行除錯分析發現該樣本將會從file.nancunshan.com下載木馬到本地瀏覽器臨時目錄，生成檔案wecha_159_a.exe，並執行

關於漏洞的詳細分析，可以看我們之前的分析《Hacking Team攻擊程式碼分析Part 4: Flash 0day漏洞第二彈 – CVE-2015-5122》（http://blogs.360.cn/360safe/2015/07/11/hacking-team-part4-Flash-2/）

Payload分析

此次掛馬的傳播木馬，和以往幾次大規模掛馬類似，仍然是一個做為流氓軟體推廣器使用的下載者，這個下載者木馬的製作手段老練，屬於專業木馬團伙製作。

1. 此木馬更新速度很快，高峰時每小時都會更新一次檔案，用來快速躲避查殺和監控。1.

2. 會檢測和判斷環境，在發現是虛擬機器測試機的情況下，不執行作惡程式碼，躲避分析。1.

3. 頻繁變更下載域名，躲避查殺。

木馬的統計和下載域名：

木馬的功能選項，包括彈廣告，下載檔案，重啟程式，自刪除等：

木馬會列舉當前系統的程式列表，如果遇到虛擬機器，影子系統，網咖等時，不執行下載者的功能。

木馬的下載列表也進行了編碼，用來對抗分析：

對這份列表進行解碼，可以看到國內多款知名軟體在列：

下載者執行的程式樹情況：

Process Tree

• iexplore.exe 2404
  • iexplore.exe 2600
    • wecha_159_a.exe 2944
      • restartokwecha_159_a.exe 3092
      • xwiklit_552_setup.exe 3524
      • ADSafe.29096-2.exe 3756
      • cqss_1116.exe 1040
        • cq1.76.exe 2832
      • setup_B63_1.exe 3908
      • duba_3_802.exe 2628
      • QQPCDownload72845.exe 3116
      • MTViewbuildmtview_97.exe 520
      • 1.0.003-Install_121_123.exe 3460
        • KcProc.exe 1924
      • jywset_65_6.exe 3624

推廣的內容中，還包括快查這類惡意程式。

注入系統程式，後臺隱藏執行：

建立虛假瀏覽器快捷方式，篡改使用者首頁：

安裝廣告外掛，在使用者計算機不斷彈出各類廣告：

此類下載者木馬，由於其推廣列表雲控，推廣內容也在不斷免殺更新。攻擊者透過不斷向使用者計算機推廣各類軟體，瘋狂榨取使用者計算機資源，賺取推廣費。

0x03 資料統計

---

此次大規模網頁掛馬，從十一月初開始，和上一輪大規模掛馬（10月初的廣告聯盟掛馬事件）為同一夥人所為。在之前掛馬被殺之後，攻擊者又捲土重來。根據360網際網路安全中心統計，此次掛馬，單日掛馬頁面攔截量超過170萬次，單日受影響使用者將近30萬。單日木馬攔截量超過4萬次。

近期CVE-2015-5122掛馬頁面攔截量：

20日，單日木馬攔截量變動

受影響使用者，分佈情況：

0x04 解決方案

---

目前，我們在攔截掛馬頁面攻擊的同時，已經聯絡廣告聯盟，去除帶有掛馬攻擊的廣告頁面，要求聯盟加強稽核。

對於廣大網民來說，應及時更新系統和瀏覽器中的Flash外掛，打好安全補丁，切莫被“打補丁會拖慢電腦”的謠言誤導。對於沒有更新Flash外掛的瀏覽器，應該暫時停用。同時可以安裝具有漏洞防護功能的安全防護軟體，應對各類掛馬攻擊。

對於國內各大軟體廠商和網站/網盟平臺廠商，也應該加強自身稽核，不要讓自身渠道成為木馬傳播的幫兇，嚴格稽核平臺中出現的廣告內容，防止廣告掛馬。各個軟體廠商，也需要規範自身推廣渠道，不要成了木馬黑產的幕後金主！