原文地址:http://drops.wooyun.org/papers/6762

0x00 事件起因

從5月底開始，360云安全系統監測到一個名為“中國插件聯盟”的下載者木馬感染量暴漲。令人匪夷所思的是，該木馬的下載通道竟然是多款用戶量上千萬甚至過億的播放器客戶端。

起初，我們懷疑這些播放器的升級文件被木馬進行了網絡劫持。通過對木馬下載重災區搜狐影音的分析，我們發現搜狐影音對網絡下載的運行代碼做了完整性校驗，但并沒有對安全性做校驗，比如簽名信息等，確實可以被劫持升級種木馬。不過從數據分析顯示，這一波利用播放器下載的木馬分布在全國不同地域、不同運營商，基本可以排除網絡劫持的可能性。

真正的問題出在哪里呢？我們在網友反饋中找到“中國插件聯盟”的受害者，聯系受害者在真實環境中查找線索，力圖從源頭上遏制該木馬的傳播，而不僅僅是查殺掉木馬。對受害用戶調查顯示，中招電腦上的搜狐影音通過官方渠道安裝，本身沒有捆綁木馬；在此次中招前大約一個月時間內，電腦也沒有執行過可疑程序。那么最大的可能性就是，搜狐影音被第三方掛馬了！

經過重點監測和測試驗證，我們發現在搜狐影音客戶端展示的一個私服廣告頁面，帶有IE遠程代碼執行漏洞（CVE-2014-6332）的掛馬代碼，可以利用搜狐影音去執行木馬代碼。

進一步調查證明，中招電腦絕大多數為XP系統，少數是沒有打補丁的Win7、Win8系統；搜狐影音的掛馬則來自第三方廣告聯盟，這也是有多款播放器成為掛馬通道的重要原因。

由于殺毒軟件對瀏覽器進程防護比較嚴密，即使漏洞被觸發，一般也能保證掛馬攻擊不會逃逸。但對于播放器等可以加載網頁廣告的其他客戶端，則成為眾多殺軟的防護盲區。掛馬攻擊通過客戶端廣告觸發，用戶只要啟動播放器就可能中招。

由于播放器掛馬異常隱蔽且行蹤不定，受影響播放器的用戶量又非常龐大，為此360安全衛士快速升級增加了對播放器等客戶端的防掛馬支持，以應對流行軟件引入第三方內容帶來的安全隱患。從6月1日至6月25日，360對播放器掛馬的攔截量累計已達到3537406次，這也是今年以來國內最大規模的木馬攻擊事件。

搜狐影音執行木馬腳本

圖：360攔截播放器掛馬

0x01 攻擊原理

此次播放器掛馬攻擊，利用的是2014年公開的IE神洞CVE-2014-6332，漏洞起因是VBScript虛擬機中的一個整型溢出，具體觸發原理在此略過，網上已有很多詳細分析。使用IE內核做頁面展示的軟件，如果調用到了VBScript，都可能觸發這個漏洞。另外由于該漏洞是在XP停服之后公開的，XP系統將永久受到此漏洞影響。

攻擊原理圖

0x02 案例分析

我們分析了搜狐影音被攻擊的過程，國內還有一些知名軟件存在同樣問題，搜狐影音則是第一波大規模攻擊時木馬利用的客戶端。 首先，搜狐影音在其內部加入了WebBrowser的支持，使用的內核是系統的IE內核，通過這個內核來展示頁面內容和廣告：

搜狐影音的主界面以及展示的廣告

系統的IE內核支持對VBScript的解析，并調用到了VB虛擬機，如果通過WebBrowser解析的頁面中存在vbs腳本，腳本就會交給VB虛擬機執行。

搜狐影音客戶端頁面內展示的廣告，有一部分來自廣告聯盟和各種營銷平臺：

分析發現在一個被展示的私服廣告頁面中，被插入了一個惡意的iframe標簽，標簽內容帶有一段vbs腳本：

通過對腳本進行解密，發現其中包含了6332漏洞利用代碼，這段代碼是由網上公開的一段poc改造而來。

最終，成功利用SHRes執行攻擊腳本，通過cmd寫入一個vbs腳本執行：

在對攻擊代碼的分析中，我們發現至少包含了這兩種攻擊腳本：

0x03 PayLoad分析

腳本執行之后，會從指定url下載一個可執行文件執行，下載的這個可執行文件是一個叫“中國插件聯盟”的下載者。它會繼續下載一個下載者、一個遠控木馬和大量安裝包到本地，新下載的下載者繼續下載安裝包，形成連環靜默推廣之勢（可憐的用戶電腦呀），被推廣的軟件包括瑞星、色彩看看，語音朗讀小說閱讀器，61一鍵啟動，護眼神器，武漢網知力，美圖瀏覽，天天9塊9（有二次推廣）等。

圖：中招電腦慘不忍睹

遠控木馬則通過一系列手法隱藏自身，同時操作注冊表寫入服務，使遠控木馬開機自啟動。

圖：播放器掛馬行為鏈

0x04 “中國插件聯盟”真兇調查

通過對“中國插件聯盟”木馬服務器的追蹤調查，初步判斷其作者是網名為yesimck的黑產人員，該作者QQ簽名為“華越網絡 正式上線 無限收安裝量 www.vooyee.com”。

追蹤線索如下：

域名注冊信息：ichajianlianmeng.com

木馬服務器信息：

作者網名：yesimck（網絡資料顯示其位于重慶萬州，重慶中意職業技術學校）

所在地區和域名注冊信息相符：

種跡象顯示，yesimck是一名專門從事利用木馬推廣軟件的黑產人員，其網絡信息與“中國插件聯盟”下載者的服務器和域名信息吻合。

0x05 解決方案

對網民來說，Win7、Win8用戶應安裝補丁，切莫被“打補丁會拖慢電腦”的謠言誤導。由于微軟為已知漏洞提供了補丁，普通網民只要及時修復漏洞就能防范掛馬攻擊；XP用戶可以選擇升級系統，或使用具備播放器掛馬防護能力的安全軟件。在國內安全軟件中，360已經全面支持瀏覽器、播放器等多類型客戶端的掛馬防護。

對軟件廠商來說，首先應加強對廣告的審核，避免外鏈其它未知內容，防止廣告被摻雜惡意代碼。另一個不容忽視的問題是，廠商應嚴格規范渠道行為，避免成為惡意推廣的幕后金主。針對已經發現的惡意渠道，應及時采用法律手段進行嚴厲打擊，否則軟件廠商本身就成為了滋生流氓推廣的溫床。

0x06 數據統計

此次播放器掛馬攻擊從5月30日開始出現，5月31日進入活躍期。以下是本月360對播放器掛馬（yesimck）的攔截量統計，單日最高攔截量達到70萬次：

通過對攔截數據分析，這一波攻擊屬于間歇性爆發，很可能是攻擊者在有意控制著木馬的傳播，以避免其過快暴露。以6月24日攔截數據為例，該木馬只是在下午集中出現，其它時段相對寂靜。