從上周末開始,360互聯網安全中心監控到一批下載者木馬傳播異常活躍。到3月7號,攔截量已經超過20W次,同時網頁掛馬量的報警數據也急劇增加。在對木馬的追蹤過程中,我們發現木馬的傳播源頭竟然是各家正規廠商的軟件,其中來自英雄聯盟和QQLive的占了前三天傳播量的95%以上。而在受感染用戶分布中,河南竟占到了72%。
木馬傳播源TOP:
\英雄聯盟\Air\LolClient.exe
\QQLiveBrowser.exe
\youkupage.exe
\QyFragment.exe
\QQGAME\SNSWebBrowser\IEProc.exe
\SogouInput\7.4.1.4880\SohuNews.exe
網上的用戶反饋:
在對數據分析之后,我們確認,這次攻擊事件和去年通過視頻客戶端掛馬是同一個團伙所為,使用的技術手段也比較相似。(《禍起蕭墻:由播放器引爆的全國性大規模掛馬分析》http://blogs.#/360safe/2015/06/26/trojan-pass-player/)本次木馬傳播,主要是通過運營商(ISP)對用戶的網絡訪問做內容劫持,在html代碼中插入一段iframe的廣告代碼所引起的。在這段廣告代碼中,為客戶端引入了帶掛馬攻擊的flash文件。而國內仍有很多桌面客戶端使用舊版帶有漏洞的flash插件,如英雄聯盟,QQLive等。flash的漏洞,造成了這些客戶端本身易受攻擊,而客戶端本身也沒有做安全防護,沒有對通信進行加密,在ISP的攻擊面前不堪一擊。如果用戶計算機此時又沒有安裝帶有漏洞防護功能的安全軟件,就會造成用戶計算機被感染。
從聯系到的用戶那里來看,用戶的出口IP屬于河南鄭州移動網絡:
在聯系用戶追查問題的時候,發現用戶打開任何網頁的時候都有可能中毒,顯然并不是特定網站被掛馬導致的。該用戶在打開了一個鳳凰網新聞頁面的時候便觸發了木馬,于是我們查看該網頁,發現了如下代碼:
很顯然,在一個itemscope的div元素下,出現了一個指向majore.b0.upayun.com的腳本元素和一段iframe嵌入頁面。
而在分析人員自己的機器中(北京市電信)訪問相同的頁面,則顯然沒有這兩個元素:
更為關鍵的是iframe中又嵌入了一層iframe指向muhlau.cn這個域名。為了方便查看,我們單獨打開了這個頁面,呈現出來的是一個看似正常的flash廣告動畫,但仔細看代碼發現——這里面還有兩層iframe嵌套,而在最里層的,是一個根本看不到的flash文件(截圖中紅框圈出來的就是這個看不見的flash文件的位置)
同時,查看瀏覽器的Network監控,也確認確實加載了這個swf文件:
拿到swf文件后分析來看,本身并沒有什么實質性的動畫內容,反倒是含有一段經過doswf加密的腳本:
通過抓取內存dump可以看到明顯的shellcode字串以及加載shellcode的代碼:
含有惡意代碼的flash文件一旦被帶有漏洞的flash插件展示,便會觸發木馬下載動作,從3g4s.net域名下獲取一個可執行文件,下載到本地并執行。
此次掛馬,攻擊者通過“上海米勞廣告傳媒有限公司”投放的廣告內容。
主要的掛馬頁面:
hxxp://www.muhlau.cn/1/index001.htmlhxxp://majore.b0.upaiyun.com/06/media_1.html所掛的flash木馬:
hxxp://www.ip.muhlau.cn/LSQZA.swf服務器地址:222.186.59.36(江蘇省鎮江市 電信)
截至我們發稿時,flash攻擊代碼已經有超過1000W次的獨立用戶訪問。單在3月9號一天,就有534W獨立用戶訪問到了掛馬頁面。
一分鐘內,有超過6800次的訪問。
掛馬頁面的引用來源,主要是廣告主的廣告跳轉頁面:
地區分布可以看出,河南占65%以上:
防護中心3月9日,單天統計到的木馬傳播趨勢:
此次木馬傳播者準備了大量木馬的免殺版本,在對抗過程中,高峰時木馬每分鐘均會更新一個版本,并針對多款安全軟件做免殺處理。木馬本身是一個簡單下載者加廣告程序,但更新極為頻繁,僅3月9號一天就更新超過300次。
客戶端被flash掛馬之后下載執行木馬的情況截圖:
捕獲的各種掛馬程序:
360安全衛士攔截木馬啟動:
被惡意flash文件下載到本地后以ad為參數執行;而廣告程序通過判斷啟動參數來決定執行什么行為:
同時,還會檢查當前系統環境來判斷自己是否在虛擬機環境中:
在確認可以正常運行后,廣告程序會先訪問指定的推廣服務器獲取推廣列表:
之后則根據推廣列表的內容打開一個淘寶頁面來推廣其淘寶店并彈出廣告彈窗:
寫入開機啟動項:
安裝大批推廣程序:
在整個木馬傳播過程中,有3個團體參與其中。
渠道由ISP負責,向頁面中插入廣告,它可以控制其全部用戶。
廣告商是來自上海的米勞傳媒,其控制下面幾個掛馬傳播服務器:
hxxp://www.muhlau.cn/1/index001.html
hxxp://majore.b0.upaiyun.com/06/media_1.html
hxxp://www.ip.muhlau.cn/LSQZA.swf
222.186.59.36
真正的木馬作者,控制著swf掛馬文件觸發之后的全部服務器:
服務器ip:58.218.205.91
hxxp://down.3g4s.net/files/DeskHomePage_179_1.exe
hxxp://down.seakt.com/tpl.exe
hxxp://tj.takemego.com:808
hxxp://tj.kissyouu.com:808
hxxp://tj.take1788.com
服務器ip:58.218.204.251
hxxp://down.shangshuwang.com/tpl.exe
對這些服務器whois查詢發現,服務器均為今年2月左右新注冊域名,并且均作了隱私保護,可謂非常之狡猾。
木馬作者使用的是微軟IIS+ASP的服務器:
通過掛馬服務器后臺發現,攻擊者來自四川省南充市
218.89.82.229(四川省南充市 電信) 2016/03/08 08:49:55
139.203.94.136(四川省南充市 電信)2016/03/08 13:25:39
對其進一步分析,我們獲取到了木馬作者的聯系方式:
作者QQ:31577675xx(主號,不常用)
測試使用QQ5542447xx(不常用)
1256403xx主號(常用)
通過網上信息,可以看做作者已經從事黑產很多年了。
還有這個團伙使用的商務推廣聯盟 QQ1062790099
商務合作渠道QQ2797719791
通過獲取到的各方面信息,我們分析出了這個推廣團伙的策略手段。首先他們會通過廣告商購買渠道的廣告展示量,這個過程中,他們會選擇一些監管不嚴的廣告商,使自己帶有木馬的廣告不至于被發現。其次會選取客戶端軟件來展示廣告,由于大多數瀏覽器會升級flash插件,會影響其木馬傳播。攻擊者更青睞于防護脆弱的客戶端軟件,最后通過傳播的下載者推廣軟件和廣告變現。
做為互聯網的基礎服務商,運營商應該注意自身行為,切莫使自己的商業廣告行為成為木馬傳播的幫兇;而各大客戶端軟件,更應該注重用戶計算機的安全體驗,做好自身漏洞的修復,及時更新所使用的第三方插件,不要再因為已知的軟件漏洞再給用戶帶來安全風險;作為責任的軟件廠商,也需要積極推進流量數據加密,來預防在通信過程中被劫持的情況發生;對于廣大用戶來說,使用一款靠譜的安全軟件,開啟軟件的實時防護尤為重要。