5

广告联盟变身挂马联盟 HackingTeam漏洞武器袭击百万网民 | WooYun知识库

 6 years ago
source link:
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

广告联盟变身挂马联盟 HackingTeam漏洞武器袭击百万网民

360安全卫士 · 2015/11/23 13:58

0x00 情况介绍

在11月初,360互联网安全中心监控到一款名为“restartokwecha“的下载者木马拦截量暴增,而对其溯源发现,木马竟然来自PConline(太平洋电脑网),1ting(一听音乐网),stockstar(证劵之星)等一批知名网站。对这些网站进行分析发现,网站广告位展示的广告中包含了Hacking Team泄露的Flash漏洞中的一个漏洞利用挂马(CVE-2015-5122)。而该下载者木马,除了在用户计算机上安装多个恶意程序外,还会推广安装多款知名软件。由于国内大量电脑仍然没有及时升级Flash插件,造成木马可以大规模传播。

360互联网安全中心在今年,已经多次捕获到国内大规模挂马行为,包括今年5月底的播放器广告位CVE-2014-6332挂马,今年7月中旬皮皮影音等CVE-2015-5122挂马,今年10月初,多家知名网站CVE-2015-5122Flash漏洞挂马。这些挂马事件,影响用户均超过百万,都是利用国内知名厂商平台进行传播,而幕后金主也包括国内多家大厂商。

0x01 攻击原理

此类木马攻击,一般通过3种方式传播其木马站点,分别是攻击其他网站挂马;自建木马站点,通过广告链接SEO等导入流量;通过网站/联盟广告位方式挂马。

例如,像下面这种,利用网站对发帖内容审核不严的问题,在帖子中加入其它站点的Flash元素,对网站进行挂马。

攻击者只需要在用户访问的页面中插入一个攻击者设定的Flash元素,即可完成攻击。而Flash内容,做为网页的富媒体内容,在互联网中有广泛应用,如果平台对媒体内容审核不严,极有可能出现被恶意利用,网站挂马的情况。

挂马网站攻击流程:

0x02 案例分析

对此次挂马事件,PConline因为整站挂有此类木马,受影响用户最多,我们以PConline为例做了分析,国内还有多家知名网站也存在同样问题。

挂马页面分析

PConline被挂马,是因为其使用了“海云互通”广告联盟的广告内容,这个广告联盟为攻击者提供了广告推广的服务,最终造成在PConline的页面中嵌入木马的效果。

首页,PConline的主站,使用了自己站点pcauto下的内容:

Pcauto使用vamaker(万流客)管理其广告流量:

之后可以看到,vamaker引入了qtmojo(宽通广告)的代码,而宽通广告带入了出问题的“海云互通”(haiyunx)广告联盟内容:

最终,我们在“海云互通”的代码中发现了接入木马服务器zyxtx.cn的代码:

攻击者对其代码进行了重新编码,如图所示数组,即为其引入木马的隐藏代码:

对这段代码进行解码之后,可以看到。攻击者为了达到隐藏攻击代码的意图,会在页面中引入一个游戏的Flash资源,将攻击代码伪装成“正常的游戏Flash页面”,在后面又悄悄引入了一个挂马Flash资源:

在打开这个页面时,将展示一个正常的游戏页面,攻击代码则会在后台悄悄执行:

在对此攻击进行分析时,这个木马服务器还挂着其它木马:

218.186.59.89:8888

通过这种对页面代码做编码和伪装的方法,攻击者成功绕过了广告联盟和各大网站的审核(如果有的话~~),加挂马的代码通过各大网站展示给了普通计算机用户。如果用户访问到了这些网站,而又没打好补丁的话,就极有可能感染木马。

挂马漏洞分析

此次挂马,攻击者使用的仍然是之前Hacking Team泄露的CVE-2015-5122Flash漏洞,如果用户计算机中的Flash版本仍然是18.0.0.209之前的版本,就会触发漏洞执行。对应的挂马Flash文件在一个月内,更新了超过20次:

此挂马文件在VirusTotal上只有McAfee和360能够检出:

swf样本用doswf加密过,解密之后,可以看到该样本的源码如下:

漏洞触发代码如下:

通过对源码的跟踪,便能发现是cve-2015-5122的样本。

在漏洞触发后使用的payload如下:

反汇编出来的shellcode如下:

通过对shellcode进行调试分析发现该样本将会从file.nancunshan.com下载木马到本地浏览器临时目录,生成文件wecha_159_a.exe,并执行

关于漏洞的详细分析,可以看我们之前的分析《Hacking Team攻击代码分析Part 4: Flash 0day漏洞第二弹 – CVE-2015-5122》(http://blogs.360.cn/360safe/2015/07/11/hacking-team-part4-Flash-2/

Payload分析

此次挂马的传播木马,和以往几次大规模挂马类似,仍然是一个做为流氓软件推广器使用的下载者,这个下载者木马的制作手段老练,属于专业木马团伙制作。

  1. 此木马更新速度很快,高峰时每小时都会更新一次文件,用来快速躲避查杀和监控。1.

  2. 会检测和判断环境,在发现是虚拟机测试机的情况下,不执行作恶代码,躲避分析。1.

  3. 频繁变更下载域名,躲避查杀。

木马的统计和下载域名:

木马的功能选项,包括弹广告,下载文件,重启程序,自删除等:

木马会枚举当前系统的进程列表,如果遇到虚拟机,影子系统,网吧等时,不执行下载者的功能。

木马的下载列表也进行了编码,用来对抗分析:

对这份列表进行解码,可以看到国内多款知名软件在列:

下载者运行的进程树情况:

Process Tree

  • iexplore.exe 2404

    • iexplore.exe 2600

      • wecha_159_a.exe 2944

        • restartokwecha_159_a.exe 3092
        • xwiklit_552_setup.exe 3524
        • ADSafe.29096-2.exe 3756

        • cqss_1116.exe 1040

          • cq1.76.exe 2832
        • setup_B63_1.exe 3908
        • duba_3_802.exe 2628
        • QQPCDownload72845.exe 3116
        • MTViewbuildmtview_97.exe 520

        • 1.0.003-Install_121_123.exe 3460

          • KcProc.exe 1924
        • jywset_65_6.exe 3624

推广的内容中,还包括快查这类恶意程序。

注入系统进程,后台隐藏执行:

创建虚假浏览器快捷方式,篡改用户首页:

安装广告插件,在用户计算机不断弹出各类广告:

此类下载者木马,由于其推广列表云控,推广内容也在不断免杀更新。攻击者通过不断向用户计算机推广各类软件,疯狂榨取用户计算机资源,赚取推广费。

0x03 数据统计

此次大规模网页挂马,从十一月初开始,和上一轮大规模挂马(10月初的广告联盟挂马事件)为同一伙人所为。在之前挂马被杀之后,攻击者又卷土重来。根据360互联网安全中心统计,此次挂马,单日挂马页面拦截量超过170万次,单日受影响用户将近30万。单日木马拦截量超过4万次。

近期CVE-2015-5122挂马页面拦截量:

20日,单日木马拦截量变动

受影响用户,分布情况:

0x04 解决方案

目前,我们在拦截挂马页面攻击的同时,已经联系广告联盟,去除带有挂马攻击的广告页面,要求联盟加强审核。

对于广大网民来说,应及时更新系统和浏览器中的Flash插件,打好安全补丁,切莫被“打补丁会拖慢电脑”的谣言误导。对于没有更新Flash插件的浏览器,应该暂时停用。同时可以安装具有漏洞防护功能的安全防护软件,应对各类挂马攻击。

对于国内各大软件厂商和网站/网盟平台厂商,也应该加强自身审核,不要让自身渠道成为木马传播的帮凶,严格审核平台中出现的广告内容,防止广告挂马。各个软件厂商,也需要规范自身推广渠道,不要成了木马黑产的幕后金主!


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK