0x00 事件起因

---

從5月底開始，360雲安全系統監測到一個名為“中國外掛聯盟”的下載者木馬感染量暴漲。令人匪夷所思的是，該木馬的下載通道竟然是多款使用者量上千萬甚至過億的播放器客戶端。

起初，我們懷疑這些播放器的升級檔案被木馬進行了網路劫持。透過對木馬下載重災區搜狐影音的分析，我們發現搜狐影音對網路下載的執行程式碼做了完整性校驗，但並沒有對安全性做校驗，比如簽名資訊等，確實可以被劫持升級種木馬。不過從資料分析顯示，這一波利用播放器下載的木馬分佈在全國不同地域、不同運營商，基本可以排除網路劫持的可能性。

真正的問題出在哪裡呢？我們在網友反饋中找到“中國外掛聯盟”的受害者，聯絡受害者在真實環境中查詢線索，力圖從源頭上遏制該木馬的傳播，而不僅僅是查殺掉木馬。對受害使用者調查顯示，中招電腦上的搜狐影音透過官方渠道安裝，本身沒有捆綁木馬；在此次中招前大約一個月時間內，電腦也沒有執行過可疑程式。那麼最大的可能性就是，搜狐影音被第三方掛馬了！

經過重點監測和測試驗證，我們發現在搜狐影音客戶端展示的一個私服廣告頁面，帶有IE遠端程式碼執行漏洞（CVE-2014-6332）的掛馬程式碼，可以利用搜狐影音去執行木馬程式碼。

進一步調查證明，中招電腦絕大多數為XP系統，少數是沒有打補丁的Win7、Win8系統；搜狐影音的掛馬則來自第三方廣告聯盟，這也是有多款播放器成為掛馬通道的重要原因。

由於防毒軟體對瀏覽器程式防護比較嚴密，即使漏洞被觸發，一般也能保證掛馬攻擊不會逃逸。但對於播放器等可以載入網頁廣告的其他客戶端，則成為眾多殺軟的防護盲區。掛馬攻擊透過客戶端廣告觸發，使用者只要啟動播放器就可能中招。

由於播放器掛馬異常隱蔽且行蹤不定，受影響播放器的使用者量又非常龐大，為此360安全衛士快速升級增加了對播放器等客戶端的防掛馬支援，以應對流行軟體引入第三方內容帶來的安全隱患。從6月1日至6月25日，360對播放器掛馬的攔截量累計已達到3537406次，這也是今年以來國內最大規模的木馬攻擊事件。

搜狐影音執行木馬指令碼

圖：360攔截播放器掛馬

0x01 攻擊原理

---

此次播放器掛馬攻擊，利用的是2014年公開的IE神洞CVE-2014-6332，漏洞起因是VBScript虛擬機器中的一個整型溢位，具體觸發原理在此略過，網上已有很多詳細分析。使用IE核心做頁面展示的軟體，如果呼叫到了VBScript，都可能觸發這個漏洞。另外由於該漏洞是在XP停服之後公開的，XP系統將永久受到此漏洞影響。

攻擊原理圖

0x02 案例分析

---

我們分析了搜狐影音被攻擊的過程，國內還有一些知名軟體存在同樣問題，搜狐影音則是第一波大規模攻擊時木馬利用的客戶端。 首先，搜狐影音在其內部加入了WebBrowser的支援，使用的核心是系統的IE核心，透過這個核心來展示頁面內容和廣告：

搜狐影音的主介面以及展示的廣告

系統的IE核心支援對VBScript的解析，並呼叫到了VB虛擬機器，如果透過WebBrowser解析的頁面中存在vbs指令碼，指令碼就會交給VB虛擬機器執行。

搜狐影音客戶端頁面內展示的廣告，有一部分來自廣告聯盟和各種營銷平臺：

分析發現在一個被展示的私服廣告頁面中，被插入了一個惡意的iframe標籤，標籤內容帶有一段vbs指令碼：

透過對指令碼進行解密，發現其中包含了6332漏洞利用程式碼，這段程式碼是由網上公開的一段poc改造而來。

最終，成功利用SHRes執行攻擊指令碼，透過cmd寫入一個vbs指令碼執行：

在對攻擊程式碼的分析中，我們發現至少包含了這兩種攻擊指令碼：

0x03 PayLoad分析

---

指令碼執行之後，會從指定url下載一個可執行檔案執行，下載的這個可執行檔案是一個叫“中國外掛聯盟”的下載者。它會繼續下載一個下載者、一個遠控木馬和大量安裝包到本地，新下載的下載者繼續下載安裝包，形成連環靜默推廣之勢（可憐的使用者電腦呀），被推廣的軟體包括瑞星、色彩看看，語音朗讀小說閱讀器，61一鍵啟動，護眼神器，武漢網知力，美圖瀏覽，天天9塊9（有二次推廣）等。

圖：中招電腦慘不忍睹

遠控木馬則透過一系列手法隱藏自身，同時操作登錄檔寫入服務，使遠控木馬開機自啟動。

圖：播放器掛馬行為鏈

0x04 “中國外掛聯盟”真兇調查

---

透過對“中國外掛聯盟”木馬伺服器的追蹤調查，初步判斷其作者是網名為yesimck的黑產人員，該作者QQ簽名為“華越網路 正式上線 無限收安裝量 www.vooyee.com”。

追蹤線索如下：

域名註冊資訊：ichajianlianmeng.com

木馬伺服器資訊：

作者網名：yesimck（網路資料顯示其位於重慶萬州，重慶中意職業技術學校）

所在地區和域名註冊資訊相符：

種跡象顯示，yesimck是一名專門從事利用木馬推廣軟體的黑產人員，其網路資訊與“中國外掛聯盟”下載者的伺服器和域名資訊吻合。

0x05 解決方案

---

對網民來說，Win7、Win8使用者應安裝補丁，切莫被“打補丁會拖慢電腦”的謠言誤導。由於微軟為已知漏洞提供了補丁，普通網民只要及時修復漏洞就能防範掛馬攻擊；XP使用者可以選擇升級系統，或使用具備播放器掛馬防護能力的安全軟體。在國內安全軟體中，360已經全面支援瀏覽器、播放器等多型別客戶端的掛馬防護。

對軟體廠商來說，首先應加強對廣告的稽核，避免外鏈其它未知內容，防止廣告被摻雜惡意程式碼。另一個不容忽視的問題是，廠商應嚴格規範渠道行為，避免成為惡意推廣的幕後金主。針對已經發現的惡意渠道，應及時採用法律手段進行嚴厲打擊，否則軟體廠商本身就成為了滋生流氓推廣的溫床。

0x06 資料統計

---

此次播放器掛馬攻擊從5月30日開始出現，5月31日進入活躍期。以下是本月360對播放器掛馬（yesimck）的攔截量統計，單日最高攔截量達到70萬次：

透過對攔截資料分析，這一波攻擊屬於間歇性爆發，很可能是攻擊者在有意控制著木馬的傳播，以避免其過快暴露。以6月24日攔截資料為例，該木馬只是在下午集中出現，其它時段相對寂靜。