騰訊電腦管家瀏覽器漏洞防御模塊上報的數據顯示,自7月起,攔截到的掛馬網頁地址數量發生了急劇增長。通過進一步分析發現,這批木馬不僅可以在用戶電腦中安裝大量的推廣軟件,甚至還有可能進行盜號等惡意行為,給用戶的電腦和帳號帶來風險。
使用瀏覽器漏洞掛馬是目前互聯網上最常用的攻擊手段。它利用了IE等瀏覽器在開發過程中遺留的一些缺陷,可以在用戶不知情的情況下運行攻擊者指定的惡意程序。由于去年4月微軟已經停止對Windows XP系統的維護,這就意味著微軟不會在再對后來的公開漏洞發布任何安全更新,所以一些已經公布的漏洞在XP系統中還將長期存在。正因為如此,漏洞掛馬已經被很多黑色產業利用,用于在未打補丁的系統中自動執行惡意程序。通過梳理騰訊電腦管家近期對掛馬網頁的攔截數據,我們可以一窺黑色產業的內幕。
7月以來,使用漏洞進行掛馬的網頁呈現明顯的增長態勢,目前每日攔截的網址已經超過3000個。
從用戶分布地域上來看,受害用戶較多的地區為廣東、山東、河南、河北、江蘇等省。
大部分漏洞的利用原理是使用瀏覽器腳本進行攻擊,所以攻擊者第一步需要在網頁里埋伏下對應的攻擊腳本,然后等待用戶訪問網頁時觸發。
從網站類型上來看,攻擊者一般是自建一些導航類或色情類的網站,吸引用戶主動訪問。也有一些攻擊者會先購買大型網站上的廣告位,然后在用戶瀏覽廣告的時候悄悄觸發。
取一天的數據,可以看到惡意網址在一天內被攔截的時間分布情況,從8點之后攔截掛馬網頁的數據持續穩定,在中午2點和半夜11點出現了兩個頂峰:
用戶訪問被掛馬的網站后,VB腳本會自動執行并且從指定的位置將惡意程序下載到用戶的電腦上運行。以其中數量最多的一個木馬為例:
該木馬在網頁上的名稱叫做cale.exe(與系統程序calc.exe很相近),而下載之后保存到硬盤上的名稱叫做putty.exe(與知名的網絡連接工具名稱一致)。
該木馬首先會通過taskkill、VirtualFreeEx破壞進程、映像劫持等多種方式,結束電腦中的安全軟件。
接下來,木馬會釋放一個驅動,該驅動會恢復atapi的IdePortDispatchDeviceControl ,IdePortDispatch兩個ioctl dispatch,用于對抗網吧還原軟件。然后發送srb穿透還原軟件,把自身寫入磁盤,達到永久駐留的目的。
同時,木馬會訪問一個網絡地址,獲取接下來要下載的木馬文件,依次執行。使用網絡地址的目的在于,木馬作者可以隨時替換其中的內容,達到不同的控制目的,實際效果等同于一個簡單的后門。在分析木馬的時候,該地址返回的內容如下:
經分析,這些鏈接中的木馬會繼續進行盜號等進一步的惡意行為。
我們選擇前文鏈接中一個比較有特點的盜號木馬進行分析。
該木馬啟動以后,首先在windows目錄釋放一個可執行文件,名字為隨機生成。
然后結束有關于QQ軟件的一切進程,迫使用戶重新啟動QQ。
接著該木馬進入一個無限循環,用于監控用戶重啟QQ的操作。循環中每隔100毫秒枚舉一次當前進程,如果發現了有QQ進程,表明用戶重新啟動了QQ,則立即結束掉真正的QQ進程,而啟動剛剛釋放的可執行文件進行代替。
這個可執行文件的作用就是使用一個偽裝的QQ登錄窗口,欺騙用戶在其中輸入QQ號和密碼。可以看到,這個登陸窗口確實做得很逼真,大量細節也很到位,跟真正的登錄窗口基本無法分辨,用戶很容易上當,以為是真的QQ登錄窗口。
當用戶輸入了QQ號密碼點擊登陸以后,木馬會悄悄把內容記錄下來,以HTTP GET的方式,上傳到木馬作者的服務器上。如圖,假設輸入QQ號:111111111 密碼:22222222:
可以看出,Windows目錄下的這個可執行文件才是木馬最關鍵的惡意行為的載體,之前的手段包括網頁掛馬、躲避殺軟,躲避還原軟件,駐留等等,都是為了這個最終的木馬掃清障礙。可見現在木馬分工極其明確,各個模塊都有各自的職責。
除此之外,還有一些網頁掛馬后下載的木馬的作用是推廣軟件。當訪問這些網頁以后,過一會兒電腦中就會多出各種各樣的軟件,木馬作者通過安裝軟件,向軟件作者索要推廣費用從而獲利。下圖是安裝此類木馬一段時間之后,桌面上多出來的軟件快捷方式和推廣軟件的界面:
