0x00 概述


1. 盜版軟件用戶和“APT 攻擊”

我國電腦用戶當中,使用盜版軟件是非常普遍的現象,從盜版的 Windows 系統到各種收費軟件的“破解版”等等。

互聯網上也充斥著各種幫助用戶使用盜版的“激活工具”、“破解工具”,投其所好地幫助用戶使用盜版軟件。但是“天下沒有免費的午餐”,除了一部分破解愛好者提供的無害的免費激活工具之外,病毒制造者也瞄準了盜版人群,他們利用提供激活工具的機會,將惡性病毒植入用戶電腦。

前段時間爆發的“小馬激活病毒”為例,其以系統激活工具的身份為掩護,利用其“入場”時間早的天然優勢,在用戶電腦上屏蔽安全軟件、肆意劫持流量,危害極大。同理,許多病毒制造者病毒用 PE 工具箱、系統激活工具等形式進行包裝,不但加快了病毒的傳播速度,也加強了其隱蔽性,從而躲避安全軟件的查殺。

提到 APT,很多人會首先想到那些針對大型企業甚至政府部門的特定攻擊或威脅,以及 0day、掛馬、間諜等。實際上,APT(Advanced Persistent Threat,即高級持續性威脅),所指非常寬泛,即“通過較為高級的手段這對特定群體產生的持續性威脅”,因此針對盜版用戶的病毒威脅,也在 APT 攻擊之列。

本報告為大家揭示的病毒,就屬于這類惡意威脅。該病毒在系統安裝階段 “先人一步”釋放出惡意程序,并通過時間優勢提前安置安全軟件白名單庫將病毒自身 “拉白”,再通過眾多功能單一、目標明確的程序相互配合,針對 “盜版操作系統用戶”這一特定群體形成了持續性的威脅。

這種針對“盜版用戶”的 APT 攻擊迷惑性極強,用戶很難發現惡意程序。更要命的是,即使安全軟件報毒,用戶通常也會認為是誤報了“系統程序”從而選擇放過。

2. “Bloom”病毒何以長期“幸存”?

近期,火絨在一個瀏覽器首頁遭劫持的用戶現場中提取到了一組具有“鎖首”功能的惡意程序,該程序會通過修改用戶瀏覽器快捷方式的手段劫持“灰色流量”。在獲取樣本后,火絨便當即對其進行了查殺,因其注冊的服務名將其命名為“Bloom”病毒。

隨后,我們在火絨樣本庫中進行關聯查詢,發現了該病毒在互聯網中流行的兩個主要版本,兩個版本時間相差一年,而“第一代”病毒更是在 2014 年就已經出現。然而,截止目前為止,國內的大部分主流安全軟件仍未能有效對其進行查殺。隨著我們對這組樣本的分析我們發現,這組樣本中每個程序功能極為單一、獨立,如果僅僅通過對單個樣本進行分析,并不能完整的獲得該病毒的整個邏輯,從而無法認定其為惡意樣本。

正是因為上述原因,使得這個病毒在安全軟件的眼皮底下堂而皇之地生存了至少兩年之久。

0x01 樣本分析


“Bloom”病毒是一組通過修改瀏覽器快捷方式的手段劫持用戶流量的惡意程序。通過火絨的“威脅情報分析系統”,我們發現該病毒通常會藏匿于以下幾個路徑名中:

#!shell
C:\Program Files\Bloom Services
C:\Program Files\Supervise Services
C:\Program Files\WinRAR\RARDATA
C:\Windows\Microsoft.NET\Framework\v4.0.3032018
C:\Program Files\Windows Defender\DATA\Supervisory

觀察上述路徑名,我們發現該病毒通常會將自己偽裝到一些常見的系統目錄下,以此來蒙蔽用戶,致使安全軟件即使發現了該病毒,用戶也會誤以為是系統程序選擇放過。

經過我們一段時間的追蹤,我們發現在當前互聯網環境中活躍“Bloom”病毒的兩個版本,我們暫且稱他們為“Bloom”病毒的“第一代”和“第二代”。如下圖所示:

圖 2-1. “Bloom”病毒“第一代”(左)與“第二代”(右)概覽

兩代病毒都是通過名為“360.bat”的批處理腳本進行病毒相關的初始化操作。如下圖所示:

圖 2-2. “360.bat”內容概覽

“Supervisory.exe”用來注冊服務,服務名為“Bloom Services”,該服務每隔一分鐘就會啟動“Moniter.exe”,由該程序調用“Prison.exe”將瀏覽器快捷方式中加入網址參數,達到其劫持用戶流量的目的。其在“Prison.exe”中使用的網址如下:

#!shell
http://bd.33**38.cc –> https://web.sogou.com/?12315
http://hao.33**38.cc -> http://www.2345.com/tg21145.htm
http://www.33**38.cc -> https://web.sogou.com/?12242-0001
http://bd.4**z.com/?fw -> https://web.sogou.com/?12242-0001
http://bd.i**8.com/?fw –> http://www.2345.com/?33883
http://hao.4**z.com/?fw -> https://web.sogou.com/?12315
http://hao.i**8.com/?fw -> http://www.2345.com/tg21145.htm
http://www.4**z.com/?fw -> http://www.2345.com/tg16937.htm
http://www.i**8.com/?fw -> https://web.sogou.com/?12242-0001

由于“Prison.exe”中指向的網址是固定的,病毒作者為了增加“鎖首”的“靈活性”,還為“第一代”病毒設置了更新程序“360TidConsole.exe”。每隔一分鐘就會檢測“Prison.exe” ,如果本地的病毒版本過舊,就會通過訪問http://update.qido***ashi.com/下的“version.txt”獲取最新的病毒版本。如果版本不統一,則會通過該站點下的“download.txt”獲取病毒下載地址進行更新。為了增加其病毒的隱蔽性,“第一代”病毒還試圖仿冒微軟簽名欺騙用戶,如下圖:

圖 2-3. “第一代”病毒仿冒的微軟簽名展示

“第二代”病毒較前者去掉了病毒的更新功能,添加了“preservice.exe”用于結束一些主流安全軟件的安裝程序進程。由于病毒“入場”時間早于安全軟件,在與安全軟件對抗的時候大大降低的技術成本。如下圖:

圖 2-4. “preservice.exe”結束進程概覽“第二代”病毒為了繞過國內個別安全軟件的查殺,每個可執行文件都加上自己的簽名。如下圖:

圖 2-5. “第二代”病毒所使用的簽名

經過我們的粗略分析,我們初步找到在用戶計算機上流走的“灰色流量”源頭就是”Bloom”病毒,該病毒集“劫持流量”、實時更新、與安全軟件對抗于一身,把用戶的計算機變成了幫助病毒制造者賺錢的“肉雞”。

0x02 追根溯源


通過病毒更新時使用的域名(http://update.qido***ashi.com),我們找到了與病毒相關的一個“U 盤啟動制作工具”——“啟動大師”的官網。如下圖:

圖 3-1. 與病毒相關的“U 盤啟動制作工具”官網

通過下載和簡單的文件信息查看,我們發現“啟動大師”所用的簽名雖然已經失效,但其與“第二代”Bloom 病毒所用的簽名是相同的。所以我們初步推斷,該病毒可能是被 “啟動大師”所釋放。

在用“啟動大師”制作了 PE 啟動盤后,我們進入了其預設好的 PE 系統。“啟動大師”運行效果圖如下:

圖 3-2. “啟動大師”運行效果圖

在進入 PE 系統之后,我們發現“啟動大師”的 Ghost 工具躍然于桌面,似乎有一種“恭候多時”的殷切。效果如下圖:

圖 3-3. 使用“啟動大師”制作的 PE 系統效果圖

我們隨即找到了該程序所在的位置,如下圖:

圖 3-4. 與病毒相關的 Ghost 還原程序總覽

我們在該目錄下,發現了很多號稱是 Ghost 工具的程序和一些可疑的文件,我們對如上文件展開了詳細分析。

其中有三個自稱是 Ghost 工具的文件,其中“ghost32.exe”為正常的 Ghost 還原工具,其余的兩個“qddsghost.exe”和“ghost.exe”可能都和病毒有關,我們下面將對它們進行詳細介紹。

首先,我們對“qddsghost.exe”進行了分析,發現其不但會使用命令行調用真正的Ghost 還原程序“ghost32.exe”,還會在還原后系統中釋放與修改首頁和修改各種瀏覽器的收藏夾的相關文件。

“qddsghost.exe”所釋放的文件都存在其資源中,資源 Type(EXEFILE)_Name(AD)_Lang(0x804)是一個批處理文件(下文稱“ad.bat”)其起到了整體的調度分配作用。該批處理文件內容如下:

圖 3-5. “ad.bat”內容總覽

我們將該批處理的內容包括四個部分:

1) 瀏覽器“鎖首”:其使用命令行修改了一些主流瀏覽器(360 安全瀏覽器、QQ瀏覽器、2345 瀏覽器等)的默認首頁,并且進行了用戶系統的注冊表管理器,以防止用戶修復首頁。資源中包含的壓縮包中包含著幾種瀏覽器配置文件,替換配置文件后的瀏覽器默認首頁和收藏夾就會被添加和修改。

2) 釋放“首頁劫持”快捷方式:Type(EXEFILE)_Name(IK1)_Lang(0x804)Type(EXEFILE)_Name(IK2)_Lang(0x804)Type(EXEFILE)_Name(IK3)_Lang(0x804) 三個資源都是網址鏈接文件,病毒調用的批處理會將他們釋放到用戶文件夾下的Favorites 文件夾中。上述網址鏈接指向的推廣網址如下:

#!shell
http://www.ha**9.com/?1
http://www.ha**5.com/?1
http://www.taobao.com/go/chn/tbk_channel/channelcode.php?pid=mm_26101802_0_0&eventid=101329

3) 釋放 Apache、搭建本地 PHP 跳轉頁面“黑吃黑”:其先下載 http://host.66***5.com/index3.txt 中存放的 hosts 文件,之后通過修改系統 hosts 文件將其過濾列表中的網址 IP 改為“127.0.0.1”(其搭建的跳轉頁),最后通過跳轉頁跳轉至推廣頁面。

圖 3-6. 病毒在本地搭建的 PHP 跳轉頁面

代碼中過濾的大部分網址都為賭博、色情等非法網址,其通過本地過濾的方式借其他”灰色流量”為自己賺取流量,打壓“黑色產業鏈”中的“同行”,借他們的手為自己賺錢。

4) 釋放安全軟件的白名單庫:Type(EXEFILE)_Name(BAIDUSD7)_Lang(0x804)Type(EXEFILE)_Name(QQPCMGR)_Lang(0x804)都是壓縮包,前者壓縮的文件是百度殺毒的白名單數據庫,后者為騰訊電腦管家的白名單數據庫及相關配置。

圖 3-7. 百度殺毒白名單數據庫設置

由于該病毒的“入場”時間早于安全軟件,當安全軟件安裝時,會誤認為這些白名單配置為之前安裝后保留的配置,使得病毒可以通過修改安全軟件白名單的方法直接繞過安全軟件查殺。

5) 病毒使用的一些基礎工具,包含命令行版的 7z 程序包等。

在“qddsghost.exe”啟動之后還會調用“srcdll.dll”動態庫中的導出函數“shifanzyexedll”。在該動態庫中,我們也發現了很多資源,除了修改首頁的批處理文件之外,其余全部都是可執行文件。

下圖中顯示了 srcdll.dll 文件釋放出來的文件之間的相互關系,其首先會釋放最上邊的三個深色的可執行文件,通過對這三個文件的運行和分析,我們又得到了四組惡意程序。

圖 3-8. srcdll.dll 釋放文件關系圖(圖中標號與下文對應)

第一組:“QQBrowser.exe”和“QQBrowser.reg”。可執行文件會將注冊表文件導入到系統中,其將 QQ 瀏覽器的首頁修改為病毒的跳轉頁。

第二組:“Home.exe”和“pic.exe”都會修改 IE 首頁,“pf.exe”是釋放出了很多網址鏈接文件和加了網址參數瀏覽器快捷方式用于其進行“流量變現”,在 WIN7 系統下其還會釋放“淘寶商城.exe”,該程序會打開帶有推廣付費號的“愛淘寶”網址鏈接。“pf.exe”程序運行效果圖如下:

圖 3-9. “pf.exe”運行效果圖

第三組:“sdff.exe”運行后會在桌面上建立了“story.exe”和“tutule.exe”的快捷方式,其兩者會跳轉到兩個不同的推廣頁。除了釋放上述文件和快捷方式外,其還會釋放出“Bloom”病毒,每隔一段時間就會修改用戶的瀏覽器快捷方式中加入推廣網址。

第四組:“Project1.exe”會將“360safte.dll ”注冊為 BHO(Browser Helper Object)插件,其會劫持瀏覽器訪問的網址。該插件會根據自己在 http://bho.66***5.com/config.txt 上的劫持列表,在瀏覽器訪問其中的網址時將其劫持為帶有推廣付費號的網址鏈接。如果系統中還有其他的程序在進行廣告推廣時,這些流量最終都會流進病毒作者的“腰包”,使得該病毒不但成為了其截取流量的工具,也成為了其用來“黑吃黑”的牟利工具。

圖 3-10. 病毒劫持網址列表

通過對以上四組文件的分析,我們發現了“啟動大師”釋放的所有病毒都是為了進行“流量變現”的,其所涉及的大型網站之多讓人不禁嗔目結舌。以上四組病毒所涉及的網址站點如下:

  • 百度(www.baidu.com)
  • 淘寶聚劃算(ju.taobao.com)
  • 天貓商城(jx.tmall.com)
  • 愛淘寶(ai.taobao.com)
  • 京東商城(www.jd.com)
  • 一號店(www.yhd.com)
  • 搜狗網址導航(web.sougou.com)
  • 2345 網址導航(www.2345.com)
  • Hao123 網址導航(www.hao123.com)
  • 黃金屋(www.35kxs.com)
  • 女人街(www.womenjie.com)

在使用“啟動大師”之后,其所釋放的眾多程序通過相互配合源源不斷地為其作者劫持“灰色流量”,通過高隱蔽性的偽裝對“盜版用戶”造成了高級的、可持續性威脅,使用戶成為了病毒作者刷取“灰色流量”的“肉雞”。用戶在搜索、網購、瀏覽互聯網媒體信息時,這些非法流量會將源源不斷地計入這些病毒所用的計費賬號。“啟動大師”的“病毒制作團隊”以 PE 工具箱為誘餌,借助用戶安裝盜版系統的“剛需”將病毒在系統還原的時間點釋放到用戶的計算機中,以多種形式進行“流量變現”,嚴重侵害了用戶切身利益。對于該病毒的上述惡意行為,針對與該病毒相關的所有樣本火絨已經率先進行查殺。

暗藏在“灰色流量”源頭的幕后黑手仿佛已經浮出水面,但是究竟誰才是這種“瘋狂套利”現象背后的推手?為何用戶長時間處于病毒威脅之中卻又無人過問?我想這是值得我們每個人深思的問題。

0x03 結論


隨著國內互聯網環境的日益復雜,如今的用戶所面對環境的復雜程度史無前例。內有“啟動大師”這樣的“流氓當道”,外有勒索病毒一類高威脅性病毒對我們的虎視眈眈,對于一個普通用戶而言,能夠保證自己遠離這些威脅已經實屬不易。但是隨著當今互聯網中“套利方式”的不斷翻新,每天互聯網中都會出現新的病毒、流氓軟件威脅用戶的信息安全和切身利益。

如今的互聯網環境之下,用戶電腦在無孔不入的病毒面前很容易失守,再加之國內的大型互聯網公司本身對流量有著長期、迫切的需求,使得病毒和流氓軟件的制造者瘋狂的在攻擊手段和套路上無所不用其極。

互聯網環境日益復雜,而國內的互聯網企業對于網絡安全的重視程度有待提升,從而造成“黑色產業鏈”的參與者也加入了國內的互聯網大潮,造成了當前互聯網中惡意競爭事件屢見不鮮。一些互聯網公司受到了這些“快速變現”的“邪門歪道”的影響,逐漸的也把重點放在了想方設法獲取用戶瀏覽,促進公司業績上,對于見效慢、盈利周期長的主營業務則漸漸降低了成本,以此為循環不斷地追求高績效、高收益。而這些不也正是當前國內經濟市場存在“產能過剩”的根源嗎?長此以往定會影響國內互聯網的健康發展。過剩的“灰色流量”不但降低了用戶的使用體驗,也大大地影響的急需廣告推廣的互聯網企業的企業形象及推廣質量。火絨在此呼吁廣大互聯網企業,在廣告推廣的同時加強審核力度,將“灰色流量”扼殺在源頭。

0x04 附錄


文中涉及樣本 SHA1

您的支持將鼓勵我們繼續創作!

[微信] 掃描二維碼打賞

[支付寶] 掃描二維碼打賞