作者:
360安全衛士
·
2015/11/23 13:58
0x00 情況介紹
在11月初,360網際網路安全中心監控到一款名為“restartokwecha“的下載者木馬攔截量暴增,而對其溯源發現,木馬竟然來自PConline(太平洋電腦網),1ting(一聽音樂網),stockstar(證劵之星)等一批知名網站。對這些網站進行分析發現,網站廣告位展示的廣告中包含了Hacking Team洩露的Flash漏洞中的一個漏洞利用掛馬(CVE-2015-5122)。而該下載者木馬,除了在使用者計算機上安裝多個惡意程式外,還會推廣安裝多款知名軟體。由於國內大量電腦仍然沒有及時升級Flash外掛,造成木馬可以大規模傳播。
360網際網路安全中心在今年,已經多次捕獲到國內大規模掛馬行為,包括今年5月底的播放器廣告位CVE-2014-6332掛馬,今年7月中旬皮皮影音等CVE-2015-5122掛馬,今年10月初,多家知名網站CVE-2015-5122Flash漏洞掛馬。這些掛馬事件,影響使用者均超過百萬,都是利用國內知名廠商平臺進行傳播,而幕後金主也包括國內多家大廠商。
0x01 攻擊原理
此類木馬攻擊,一般透過3種方式傳播其木馬站點,分別是攻擊其他網站掛馬;自建木馬站點,透過廣告連結SEO等匯入流量;透過網站/聯盟廣告位方式掛馬。
例如,像下面這種,利用網站對發帖內容稽核不嚴的問題,在帖子中加入其它站點的Flash元素,對網站進行掛馬。
![](https://i.iter01.com/images/fec4de326e5c00bde8b4d30f5ef8e6f43a0ace5174da980b7b3fca48e85227b6.jpg)
攻擊者只需要在使用者訪問的頁面中插入一個攻擊者設定的Flash元素,即可完成攻擊。而Flash內容,做為網頁的富媒體內容,在網際網路中有廣泛應用,如果平臺對媒體內容稽核不嚴,極有可能出現被惡意利用,網站掛馬的情況。
掛馬網站攻擊流程:
![](https://i.iter01.com/images/aba3500c02fc92b04be885db5acdafdd0e51e006df0aa43b2555d0a76278092d.jpg)
0x02 案例分析
對此次掛馬事件,PConline因為整站掛有此類木馬,受影響使用者最多,我們以PConline為例做了分析,國內還有多家知名網站也存在同樣問題。
掛馬頁面分析
PConline被掛馬,是因為其使用了“海雲互通”廣告聯盟的廣告內容,這個廣告聯盟為攻擊者提供了廣告推廣的服務,最終造成在PConline的頁面中嵌入木馬的效果。
首頁,PConline的主站,使用了自己站點pcauto下的內容:
![](https://i.iter01.com/images/33b5717bba857a6de61cac06f21770e3aaf934b9aa47f93dde88d69afb59f4e6.jpg)
Pcauto使用vamaker(萬流客)管理其廣告流量:
![](https://i.iter01.com/images/95e1bd89194e02fb6d48872e3871cb55c924233fc78e0ead3176909519125fc9.jpg)
之後可以看到,vamaker引入了qtmojo(寬通廣告)的程式碼,而寬通廣告帶入了出問題的“海雲互通”(haiyunx)廣告聯盟內容:
![](https://i.iter01.com/images/fe2915ad9159be673763653a63c73726712492d5bedecad7ee168a39cc113594.jpg)
最終,我們在“海雲互通”的程式碼中發現了接入木馬伺服器zyxtx.cn的程式碼:
![](https://i.iter01.com/images/412e7dbea50e18ed9ec2cd4626ca16a123925bde76bb942164bc41367f7e6526.jpg)
![](https://i.iter01.com/images/e76585617d5e9e4c996305ad0ee4afa354a1f99e179956b2ebcab53e950c9598.jpg)
攻擊者對其程式碼進行了重新編碼,如圖所示陣列,即為其引入木馬的隱藏程式碼:
![](https://i.iter01.com/images/9f75b95971b90330f0287053af3874b738406d856265ef481e61479890979fe7.jpg)
對這段程式碼進行解碼之後,可以看到。攻擊者為了達到隱藏攻擊程式碼的意圖,會在頁面中引入一個遊戲的Flash資源,將攻擊程式碼偽裝成“正常的遊戲Flash頁面”,在後面又悄悄引入了一個掛馬Flash資源:
![](https://i.iter01.com/images/5b500dd7c1cd4b367a4ac72516e9f10c85cc78e4b707c9bcebba497318966a03.jpg)
在開啟這個頁面時,將展示一個正常的遊戲頁面,攻擊程式碼則會在後臺悄悄執行:
![](https://i.iter01.com/images/07526fd5473df5d12fbf45f229527654513db1fab02dd7a3d1a8f003fefd4369.jpg)
在對此攻擊進行分析時,這個木馬伺服器還掛著其它木馬:
218.186.59.89:8888
![](https://i.iter01.com/images/567ae933b8eb30f83e9658ff020123fe580efea4c49e6ca3d3589495ed504fd9.jpg)
透過這種對頁面程式碼做編碼和偽裝的方法,攻擊者成功繞過了廣告聯盟和各大網站的稽核(如果有的話~~),加掛馬的程式碼透過各大網站展示給了普通計算機使用者。如果使用者訪問到了這些網站,而又沒打好補丁的話,就極有可能感染木馬。
掛馬漏洞分析
此次掛馬,攻擊者使用的仍然是之前Hacking Team洩露的CVE-2015-5122Flash漏洞,如果使用者計算機中的Flash版本仍然是18.0.0.209之前的版本,就會觸發漏洞執行。對應的掛馬Flash檔案在一個月內,更新了超過20次:
![](https://i.iter01.com/images/e57d1c5516352466fbdd157a96fd7a01d1214d82d5c9d3c8f1627b4c240f2e9b.jpg)
此掛馬檔案在VirusTotal上只有McAfee和360能夠檢出:
![](https://i.iter01.com/images/46e21c6570272dd9a80905a52bb907386b267434af22dc17418dd4307c225ac5.jpg)
swf樣本用doswf加密過,解密之後,可以看到該樣本的原始碼如下:
![](https://i.iter01.com/images/a8cd2550ca75ce1baa0c394e1191f8fa1ddc5e346041c9766337e10fb2314511.jpg)
漏洞觸發程式碼如下:
![](https://i.iter01.com/images/057224f99fe286055309d36d82a5cf048e079838264e18100d8f134d0ae69f6a.jpg)
透過對原始碼的跟蹤,便能發現是cve-2015-5122的樣本。
在漏洞觸發後使用的payload如下:
![](https://i.iter01.com/images/3d23d4a8c5111dac5622e622f27281d58fc1b46792373015853cdd311adaf93a.jpg)
反彙編出來的shellcode如下:
![](https://i.iter01.com/images/1396215d1f3f8dfb2470d8c5781cfcd70cd6c2f9892a532595dda063357371c9.jpg)
透過對shellcode進行除錯分析發現該樣本將會從file.nancunshan.com下載木馬到本地瀏覽器臨時目錄,生成檔案wecha_159_a.exe,並執行
![](https://i.iter01.com/images/d4a7ba0540dea11ecb53e9aa72fbf640675edf9b5e2097056c916321d5967b7a.jpg)
關於漏洞的詳細分析,可以看我們之前的分析《Hacking Team攻擊程式碼分析Part 4: Flash 0day漏洞第二彈 – CVE-2015-5122》(http://blogs.360.cn/360safe/2015/07/11/hacking-team-part4-Flash-2/)
Payload分析
此次掛馬的傳播木馬,和以往幾次大規模掛馬類似,仍然是一個做為流氓軟體推廣器使用的下載者,這個下載者木馬的製作手段老練,屬於專業木馬團伙製作。
此木馬更新速度很快,高峰時每小時都會更新一次檔案,用來快速躲避查殺和監控。1.
會檢測和判斷環境,在發現是虛擬機器測試機的情況下,不執行作惡程式碼,躲避分析。1.
頻繁變更下載域名,躲避查殺。
木馬的統計和下載域名:
![](https://i.iter01.com/images/cd7a17adeea53d6b732da25fff6a0350467bbb0b6cc58b47d2e87434792adc2c.jpg)
木馬的功能選項,包括彈廣告,下載檔案,重啟程式,自刪除等:
![](https://i.iter01.com/images/26fb91ff7c3a443bf6f5b24bd123813feb7158f2077251d82c734897681cb34b.jpg)
木馬會列舉當前系統的程式列表,如果遇到虛擬機器,影子系統,網咖等時,不執行下載者的功能。
![](https://i.iter01.com/images/7f24d7b3896a6f6b61e6c7ed60086e2bb7e9fc594c1dc0120f0236d56604adda.jpg)
木馬的下載列表也進行了編碼,用來對抗分析:
![](https://i.iter01.com/images/7cb657170a6f78d9054db88a82105ad1f029950066fba69a3a9340d60b43ee04.jpg)
對這份列表進行解碼,可以看到國內多款知名軟體在列:
![](https://i.iter01.com/images/20b52f997118fa0e37f22080d5820abb175234f1f5583659703b67e54a9a7ebb.jpg)
下載者執行的程式樹情況:
Process Tree
- iexplore.exe 2404
- iexplore.exe 2600
- wecha_159_a.exe 2944
- restartokwecha_159_a.exe 3092
- xwiklit_552_setup.exe 3524
- ADSafe.29096-2.exe 3756
- cqss_1116.exe 1040
- setup_B63_1.exe 3908
- duba_3_802.exe 2628
- QQPCDownload72845.exe 3116
- MTViewbuildmtview_97.exe 520
- 1.0.003-Install_121_123.exe 3460
- jywset_65_6.exe 3624
推廣的內容中,還包括快查這類惡意程式。
注入系統程式,後臺隱藏執行:
![](https://i.iter01.com/images/a571671a81d4034dd5ef4cf13079e4f5072750055860abb7d705ab24730f7497.jpg)
![](https://i.iter01.com/images/bb182aaf1d778bbfb4153d565a8e840b5a309334a5c41194986c3bfa8776d5f5.jpg)
建立虛假瀏覽器快捷方式,篡改使用者首頁:
![](https://i.iter01.com/images/1a625443e6b0a05e58ef7bc7a82ddb939e5ff0a31011bbce22a14fc967f4f992.jpg)
安裝廣告外掛,在使用者計算機不斷彈出各類廣告:
![](https://i.iter01.com/images/bdba3072bf85111019a5456c64dee108082f5731e49b34ed03b795adfbc039c2.jpg)
![](https://i.iter01.com/images/777465ce84068c4061dd1d8384d75f400ff0690af8bcbc836bb8a93daa3d7153.jpg)
此類下載者木馬,由於其推廣列表雲控,推廣內容也在不斷免殺更新。攻擊者透過不斷向使用者計算機推廣各類軟體,瘋狂榨取使用者計算機資源,賺取推廣費。
0x03 資料統計
此次大規模網頁掛馬,從十一月初開始,和上一輪大規模掛馬(10月初的廣告聯盟掛馬事件)為同一夥人所為。在之前掛馬被殺之後,攻擊者又捲土重來。根據360網際網路安全中心統計,此次掛馬,單日掛馬頁面攔截量超過170萬次,單日受影響使用者將近30萬。單日木馬攔截量超過4萬次。
近期CVE-2015-5122掛馬頁面攔截量:
![](https://i.iter01.com/images/496a1c59ea676c7e954b0fb6cebbddd5804082822c7d333b8bb06b787fd656ff.jpg)
20日,單日木馬攔截量變動
![](https://i.iter01.com/images/5f2a91cda38a05ca4677e78d44eefd9f2b33568020eca9bab2cbfce92999882a.jpg)
受影響使用者,分佈情況:
![](https://i.iter01.com/images/2176cbb0ae209863075418d4383625fb558a584fff8067c9515f387609528283.jpg)
0x04 解決方案
目前,我們在攔截掛馬頁面攻擊的同時,已經聯絡廣告聯盟,去除帶有掛馬攻擊的廣告頁面,要求聯盟加強稽核。
對於廣大網民來說,應及時更新系統和瀏覽器中的Flash外掛,打好安全補丁,切莫被“打補丁會拖慢電腦”的謠言誤導。對於沒有更新Flash外掛的瀏覽器,應該暫時停用。同時可以安裝具有漏洞防護功能的安全防護軟體,應對各類掛馬攻擊。
對於國內各大軟體廠商和網站/網盟平臺廠商,也應該加強自身稽核,不要讓自身渠道成為木馬傳播的幫兇,嚴格稽核平臺中出現的廣告內容,防止廣告掛馬。各個軟體廠商,也需要規範自身推廣渠道,不要成了木馬黑產的幕後金主!
本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!