從3月5日開始,騰訊反病毒實驗室監控到大量知名軟件客戶端存在釋放下載器病毒的異常數據,預示著可能存在通過掛馬方式大規模攻擊知名軟件客戶端的行為。電腦管家緊急對相關數據進行分析排查,最終發現這是一起綜合利用運營商監控缺失、網絡廣告商審核不嚴、客戶端軟件存在安全漏洞等多重因素進行的大規模網絡攻擊,其攻擊方式就多達3種(參見下圖)。
從數據中找到線索,其中較大的一個推廣渠道竟然是某運營商客戶端的speedup模塊。管家工程師陷入了思考: 新的0day漏洞被利用?局部地區運營商劫持?
通過分析部分用戶IP,發現確實均為某運營商用戶,并且用戶分布較廣,卻不是聚集在局部地區。
管家開始模擬環境安裝此軟件,安裝后軟件正常拉起speedup模塊。
speedup.exe程序內嵌了ie控件,但是并沒有顯示對應窗口,會不會是個隱藏廣告?
使用工具強制將窗口顯示,效果如下,看起來是一個普通的游戲廣告。
再進一步分析,獲取廣告鏈接的服務器地址硬編碼在speedup.exe內,然后在內置的瀏覽器中每隔數分鐘獲取一次廣告url,拉取廣告后在內存中顯示,由于廣告窗口屬性為隱藏,用戶完全無法察覺廣告的存在。
順著這條線索,我們不斷抓包分析,最終發現廣告會訪問到一個可疑頁:hxxp://www.ip.u****.com.cn/index.html直接訪問這個頁面,表面上看也是一個普通的游戲flash廣告。
查看頁面源碼后,其中兩處調用引起了我們關注
(1)hxxp://www.ip.u****com.cn/LSQZA.swf
通過反編譯,發現LSQZA.swf加了doswf殼
從內存dump中獲取真正的惡意swf文件
反編譯代碼分析,發現該木馬利用的是CVE-2015-5122漏洞
漏洞最終加載的Playload的主要功能是下載silence_eq014.exe并執行。
CVE-2015-5122技術細節 http://www.cvedetails.com/cve/2015-5122
(2)hxxp://www.ip.u****.com.cn/GXRP.html
GXRP.html的內容是一段轉碼腳本
解碼后可發現該腳本是著名的ie神洞CVE-2014-6332 利用代碼。
漏洞最終加載的Playload功能是下載并執行silence_eq014.exe
值得注意的是,微軟發布的CVE-2014-6332漏洞修復補丁并不包含xp系統,因此xp系統用戶被此漏洞攻擊時,如果沒有安全軟件保護,很容易被攻擊成功。CVE-2014-6332技術細節 http://www.cvedetails.com/cve/2014-6332
該廣告頁同時利用了兩個漏洞進行掛馬以提高掛馬的成功率,兩種攻擊方式最終目的一致——觸發下載木馬安裝器,下載地址: hxxp://download.xin*****rj.cn/download/silence_eq014.exe
地址中“014”替換為“001”到“013”之間任意字符串后鏈接仍然有效,顯然silence_eq病毒傳播方式除了廣告掛馬,還可能存在其它推廣方式。
silence_eq系列病毒為了盡可能躲避殺軟攔截,采用自動化、高頻化生成變種的方式進行免殺。更新頻率約10s一次,按現有渠道量統計,24小時變種數量可高達12萬之多。
(3)silence_eq木馬分析
這是一個常見的下載器木馬,主要目的十分簡單——從下載列表拉取對應推廣軟件安裝包執行。
分析到下載列表: hxxp://115******30.228:8090/1.txt
包含多款軟件下載地址
直接訪問 hxxp://115******30.228:8090,頁面title為“統計后臺管理”猜測是統計推廣軟件的下載量。
我們使用“技術手段”破解密碼后登陸,3月12日當天17:00感染量顯示超過2w。由于可以清空統計,這一感染量可能遠低于真實情況。
找到一個出現問題的游戲玩家,在電腦上抓包和程序監控,最終發現正常訪問的http://im****he.gtimg.cn/*****_v1/tvp/js/tvp.player_v2_jq.js竟然被劫持。
劫持的JS代碼如下。首先會去下載正常的tvp.player_v2_jq.js。然后最后會拉取?http://im****he.gtimg.cn/*****_v1/tvp/js/tvp.player_v2_jq.js
hxxp://home.b*****dn2.com/06/main.js會進一步下載其他JS。
一層層定位到關鍵的掛馬頁面:hxxp://www.m****u.cn/1/index001.html
最終觸發的惡意漏洞文件“LSQZA.swf”是不是很眼熟?與攻擊方式1中的惡意swf文件名字完全相同,顯然是同一個病毒團伙。
后續觸發漏洞的方式與1稍有不同,只利用了CVE-2015-5112 flash漏洞。攻擊成功后釋放并拉起名為“DeskHomePage_179_1.exe”的下載器病毒。
最終安裝大量推廣軟件,觸發廣告彈窗騷擾用戶。
中招的用戶可以使用管家殺毒功能清理掉上述推廣軟件。
方式與2基本相同,區別在于攻擊方式不是劫持特定數據,而是在網絡請求訪問數據中隨機插入掛馬廣告頁面。任何客戶端軟件發起的任何網絡訪問都可能被污染,如果用戶使用未打補丁的系統或者存在flash漏洞的軟件(如瀏覽器)則會中招,因此殺傷力極大。此攻擊方式已知的最終掛馬頁面與攻擊方式二相同。
前期攻擊主要以“定向劫持某游戲數據”(攻擊方式2)為主,受影響為某運營商用戶。三月9日開始,掛馬集團使用“商業廣告掛馬”(攻擊方式1)加大了對全國各地另一運營商用戶的攻擊力度。
DeskHomePage木馬以河南省受到的影響最大。
silence_eq木馬和敲詐者木馬針對某運營商用戶,受影響用戶無區域聚集現象。
此次大規模漏洞攻擊涉及到兩大運營商和多款知名軟件,攻擊范圍之廣在中國互聯網歷史上極其罕見,其中受影響最深的是河南省用戶。截至到3.14日,攻擊中涉及的部分下載站仍然活躍,還在不斷更新數據。
騰訊反病毒實驗室認為,這三種攻擊方式集中利用了中國互聯網各方當前的安全弱點:
(1)運營商在提供互聯網數據服務時,首先要確保數據安全性。對自身各節點提供的數據應建立更完善的監控,避免再出現部分地區大規模的網絡訪問內容被劫持的問題。管家已經主動聯系相關運營商并提供更多細節信息,協助運營商定位問題和開發后續防范措施。
(2)正規軟件廠商除了確保用戶數據安全外,應更重視客戶端與服務端之間數據通信安全,如使用https替換易被篡改內容的http協議;及時更新自身存在安全隱患的組件,尤其是經常被攻擊者利用的flash組件。早期攻擊者更多攻擊存在漏洞的flash組件的瀏覽器,在瀏覽器廠商重視相關問題主動升級flash版本后,防御相對滯后的客戶端軟件將成為當前重點攻擊目標。
(3)廣告聯盟公司應加強對旗下發布各類廣告的安全監管,尤其是容易被利用的flash廣告安全性,防止自身被攻擊者利用,變成木馬傳播平臺。
(4)廣大用戶朋友應注意及時使用安全軟件安裝系統最新補丁。由于微軟已不再支持xp系統漏洞修復,建議xp用戶盡早升級使用Win7或者Win10等安全性更高的系統。