在11月初,360互聯網安全中心監控到一款名為“restartokwecha“的下載者木馬攔截量暴增,而對其溯源發現,木馬竟然來自PConline(太平洋電腦網),1ting(一聽音樂網),stockstar(證劵之星)等一批知名網站。對這些網站進行分析發現,網站廣告位展示的廣告中包含了Hacking Team泄露的Flash漏洞中的一個漏洞利用掛馬(CVE-2015-5122)。而該下載者木馬,除了在用戶計算機上安裝多個惡意程序外,還會推廣安裝多款知名軟件。由于國內大量電腦仍然沒有及時升級Flash插件,造成木馬可以大規模傳播。
360互聯網安全中心在今年,已經多次捕獲到國內大規模掛馬行為,包括今年5月底的播放器廣告位CVE-2014-6332掛馬,今年7月中旬皮皮影音等CVE-2015-5122掛馬,今年10月初,多家知名網站CVE-2015-5122Flash漏洞掛馬。這些掛馬事件,影響用戶均超過百萬,都是利用國內知名廠商平臺進行傳播,而幕后金主也包括國內多家大廠商。
此類木馬攻擊,一般通過3種方式傳播其木馬站點,分別是攻擊其他網站掛馬;自建木馬站點,通過廣告鏈接SEO等導入流量;通過網站/聯盟廣告位方式掛馬。
例如,像下面這種,利用網站對發帖內容審核不嚴的問題,在帖子中加入其它站點的Flash元素,對網站進行掛馬。
攻擊者只需要在用戶訪問的頁面中插入一個攻擊者設定的Flash元素,即可完成攻擊。而Flash內容,做為網頁的富媒體內容,在互聯網中有廣泛應用,如果平臺對媒體內容審核不嚴,極有可能出現被惡意利用,網站掛馬的情況。
掛馬網站攻擊流程:
對此次掛馬事件,PConline因為整站掛有此類木馬,受影響用戶最多,我們以PConline為例做了分析,國內還有多家知名網站也存在同樣問題。
PConline被掛馬,是因為其使用了“海云互通”廣告聯盟的廣告內容,這個廣告聯盟為攻擊者提供了廣告推廣的服務,最終造成在PConline的頁面中嵌入木馬的效果。
首頁,PConline的主站,使用了自己站點pcauto下的內容:
Pcauto使用vamaker(萬流客)管理其廣告流量:
之后可以看到,vamaker引入了qtmojo(寬通廣告)的代碼,而寬通廣告帶入了出問題的“海云互通”(haiyunx)廣告聯盟內容:
最終,我們在“海云互通”的代碼中發現了接入木馬服務器zyxtx.cn的代碼:
攻擊者對其代碼進行了重新編碼,如圖所示數組,即為其引入木馬的隱藏代碼:
對這段代碼進行解碼之后,可以看到。攻擊者為了達到隱藏攻擊代碼的意圖,會在頁面中引入一個游戲的Flash資源,將攻擊代碼偽裝成“正常的游戲Flash頁面”,在后面又悄悄引入了一個掛馬Flash資源:
在打開這個頁面時,將展示一個正常的游戲頁面,攻擊代碼則會在后臺悄悄執行:
在對此攻擊進行分析時,這個木馬服務器還掛著其它木馬:
218.186.59.89:8888
通過這種對頁面代碼做編碼和偽裝的方法,攻擊者成功繞過了廣告聯盟和各大網站的審核(如果有的話~~),加掛馬的代碼通過各大網站展示給了普通計算機用戶。如果用戶訪問到了這些網站,而又沒打好補丁的話,就極有可能感染木馬。
此次掛馬,攻擊者使用的仍然是之前Hacking Team泄露的CVE-2015-5122Flash漏洞,如果用戶計算機中的Flash版本仍然是18.0.0.209之前的版本,就會觸發漏洞執行。對應的掛馬Flash文件在一個月內,更新了超過20次:
此掛馬文件在VirusTotal上只有McAfee和360能夠檢出:
swf樣本用doswf加密過,解密之后,可以看到該樣本的源碼如下:
漏洞觸發代碼如下:
通過對源碼的跟蹤,便能發現是cve-2015-5122的樣本。
在漏洞觸發后使用的payload如下:
反匯編出來的shellcode如下:
通過對shellcode進行調試分析發現該樣本將會從file.nancunshan.com下載木馬到本地瀏覽器臨時目錄,生成文件wecha_159_a.exe,并執行
關于漏洞的詳細分析,可以看我們之前的分析《Hacking Team攻擊代碼分析Part 4: Flash 0day漏洞第二彈 – CVE-2015-5122》(http://blogs.#/360safe/2015/07/11/hacking-team-part4-Flash-2/)
此次掛馬的傳播木馬,和以往幾次大規模掛馬類似,仍然是一個做為流氓軟件推廣器使用的下載者,這個下載者木馬的制作手段老練,屬于專業木馬團伙制作。
此木馬更新速度很快,高峰時每小時都會更新一次文件,用來快速躲避查殺和監控。1.
會檢測和判斷環境,在發現是虛擬機測試機的情況下,不執行作惡代碼,躲避分析。1.
頻繁變更下載域名,躲避查殺。
木馬的統計和下載域名:
木馬的功能選項,包括彈廣告,下載文件,重啟程序,自刪除等:
木馬會枚舉當前系統的進程列表,如果遇到虛擬機,影子系統,網吧等時,不執行下載者的功能。
木馬的下載列表也進行了編碼,用來對抗分析:
對這份列表進行解碼,可以看到國內多款知名軟件在列:
下載者運行的進程樹情況:
Process Tree
推廣的內容中,還包括快查這類惡意程序。
注入系統進程,后臺隱藏執行:
創建虛假瀏覽器快捷方式,篡改用戶首頁:
安裝廣告插件,在用戶計算機不斷彈出各類廣告:
此類下載者木馬,由于其推廣列表云控,推廣內容也在不斷免殺更新。攻擊者通過不斷向用戶計算機推廣各類軟件,瘋狂榨取用戶計算機資源,賺取推廣費。
此次大規模網頁掛馬,從十一月初開始,和上一輪大規模掛馬(10月初的廣告聯盟掛馬事件)為同一伙人所為。在之前掛馬被殺之后,攻擊者又卷土重來。根據360互聯網安全中心統計,此次掛馬,單日掛馬頁面攔截量超過170萬次,單日受影響用戶將近30萬。單日木馬攔截量超過4萬次。
近期CVE-2015-5122掛馬頁面攔截量:
20日,單日木馬攔截量變動
受影響用戶,分布情況:
目前,我們在攔截掛馬頁面攻擊的同時,已經聯系廣告聯盟,去除帶有掛馬攻擊的廣告頁面,要求聯盟加強審核。
對于廣大網民來說,應及時更新系統和瀏覽器中的Flash插件,打好安全補丁,切莫被“打補丁會拖慢電腦”的謠言誤導。對于沒有更新Flash插件的瀏覽器,應該暫時停用。同時可以安裝具有漏洞防護功能的安全防護軟件,應對各類掛馬攻擊。
對于國內各大軟件廠商和網站/網盟平臺廠商,也應該加強自身審核,不要讓自身渠道成為木馬傳播的幫兇,嚴格審核平臺中出現的廣告內容,防止廣告掛馬。各個軟件廠商,也需要規范自身推廣渠道,不要成了木馬黑產的幕后金主!