信息來(lái)源:FreeBuf
目前��,越來(lái)越多的網(wǎng)站開(kāi)始注冊(cè)證書(shū)��,提供對(duì)HTTPS的支持��,保護(hù)自己站點(diǎn)不被劫持��。而作為對(duì)立面的流量劫持攻擊��,也開(kāi)始將矛頭對(duì)準(zhǔn)HTTPS��,其中最常見(jiàn)的一種方法便是偽造證書(shū),做中間人劫持��。
不久前��,360發(fā)布了《“移花接木”偷換廣告:HTTPS劫匪木馬每天打劫200萬(wàn)次網(wǎng)絡(luò)訪問(wèn)》的相關(guān)預(yù)警��。近日,360互聯(lián)網(wǎng)安全中心又發(fā)現(xiàn)一款名為“跑跑火神多功能輔助”的外掛軟件中附帶的劫持木馬��,該木馬可以看作是之前劫持木馬的加強(qiáng)版��,其運(yùn)行后加載RootKit木馬驅(qū)動(dòng)大肆劫持導(dǎo)航及電商網(wǎng)站��,利用中間人攻擊手法劫持HTTPS網(wǎng)站��,同時(shí)還阻止常見(jiàn)ARK工具(Anti-Rootkit��,檢測(cè)查殺內(nèi)核級(jí)木馬的專業(yè)工具)運(yùn)行��,破壞殺軟正常功能��。
圖1
根據(jù)我們的數(shù)據(jù)分析��,該木馬不僅存在于多種外掛軟件中��,同時(shí)也包含于網(wǎng)絡(luò)上流傳的眾多所謂“系統(tǒng)盤(pán)”中��。一旦有人使用這樣的系統(tǒng)盤(pán)裝機(jī)��,就等于是讓電腦裝機(jī)就感染了流量劫持木馬��。
模塊分工示意圖:
圖2
作惡行為:
1��、進(jìn)行軟件推廣:
程序中硬編碼了從指定地址下載安裝小黑記事本等多款軟件:
圖3
圖4
2、破壞殺毒軟件:
通過(guò)檢測(cè)文件pdb文件名信息來(lái)檢測(cè)判斷Ark工具��,檢測(cè)到后直接結(jié)束進(jìn)程并刪除相應(yīng)文件��,如圖所示檢測(cè)了:PCHunter(原XueTr)��、WinAST��、PowerTool��、Kernel Detective等��,和所有頑固木馬一樣��,HTTPS劫匪也把360急救箱列為攻擊目標(biāo)��。
圖5
刪除殺軟LoadImage回調(diào):
圖6
圖7
阻止網(wǎng)盾模塊加載,其阻止的列表如下:
圖8
3��、進(jìn)行流量劫持
木馬會(huì)云控劫持導(dǎo)航及電商網(wǎng)站��,利用中間人攻擊手法��,支持劫持https網(wǎng)站
圖9
中間人攻擊示意圖
驅(qū)動(dòng)調(diào)用BlackBone代碼將yyqg.dll注入到winlogon.exe進(jìn)程中執(zhí)行,
圖10
BlackBone相關(guān)代碼:
圖11
yyqg.dll還會(huì)導(dǎo)入其偽造的一些常見(jiàn)網(wǎng)站的ssl證書(shū)��,導(dǎo)入證書(shū)的域名列表如下:
圖12
替換的百度的SSL證書(shū):
圖13
圖14
通過(guò)云控控制需要劫持網(wǎng)站及劫持到目標(biāo)網(wǎng)站列表:云控地址采用的是使用DNS:114.114.114.114(備用為:谷歌DNS:8.8.8.8以及360DNS:101.226.4.6)解析dns.5447.me的TXT記錄得到的連接:
獲取云控連接地址部分代碼:
圖15
圖16
圖17
使用Nslookup查詢dns.5447.me的TXT記錄也和該木馬解析拿到的結(jié)果一致:
圖18
最終得到劫持列表地址:http://h.02**.me:97/i/hijack.txt?aa=1503482176
劫持網(wǎng)址列表及跳轉(zhuǎn)目標(biāo)連接如下圖��,主要劫持導(dǎo)航及電商網(wǎng)站:
圖19
驅(qū)動(dòng)讀取網(wǎng)絡(luò)數(shù)據(jù)包:
圖20
發(fā)送控制命令:
圖21
驅(qū)動(dòng)層過(guò)濾攔截到網(wǎng)絡(luò)數(shù)據(jù)包返回給應(yīng)用層yyqg.dll, 應(yīng)用層yyqg.dll讀取到數(shù)據(jù)解析后根據(jù)云控列表匹配數(shù)據(jù)然后Response一段:
<metahttp-equiv=\”refresh\” content=\”0; url = %s\”/> 自動(dòng)刷新并指向新頁(yè)面的代碼
(http-equiv顧名思義��,相當(dāng)于http的文件頭作用)
圖22
被劫持后給返回的結(jié)果:自動(dòng)刷新并指向新頁(yè)面:http://h.02**.me:97/i
圖23
http:
不是搜狗瀏覽器則跳轉(zhuǎn)到:http://www.hao774.com/?381**,至此就完成了一個(gè)完整劫持過(guò)程��。
圖24
圖25
劫持效果動(dòng)圖(雙擊打開(kāi)):
圖26
同時(shí)為了防止劫持出現(xiàn)無(wú)限循環(huán)劫持��,其還做了一個(gè)白名單列表主要是其劫持到的最終跳轉(zhuǎn)頁(yè)面連接��,遇到這些連接時(shí)則不做劫持跳轉(zhuǎn)��。
http://h.02**.me:97/i/white.txt?aa=1503482177
圖27
圖28
傳播:
除了游戲外掛外��,在很多Ghost系統(tǒng)盤(pán)里也發(fā)現(xiàn)了該類木馬的行蹤��,且木馬利用系統(tǒng)盤(pán)傳播的數(shù)量遠(yuǎn)超外掛傳播��。使用帶“毒”系統(tǒng)盤(pán)裝機(jī)��,還沒(méi)來(lái)得及安裝殺毒軟件��,流量劫持木馬便自動(dòng)運(yùn)行��;另外��,外掛本身的迷惑性��,也極易誘導(dǎo)中招者忽視殺軟提示而冒險(xiǎn)運(yùn)行木馬。
正因木馬宿主的特殊性��,使得該類流量劫持木馬的感染率極高��。據(jù)360近期的查殺數(shù)據(jù)顯示��,由于系統(tǒng)自帶木馬��,或忽略安全軟件提示運(yùn)行帶毒外掛的受害用戶��,已經(jīng)高達(dá)數(shù)十萬(wàn)之多��。
圖29
圖30
再次提醒廣大網(wǎng)民:
1.謹(jǐn)慎使用網(wǎng)上流傳的Ghost鏡像��,其中大多都帶有各種惡意程序��,建議用戶選擇正規(guī)安裝盤(pán)安裝操作系統(tǒng)��,以免自己的電腦被不法分子控制��。
2.非法外掛軟件“十掛九毒”��,一定要加以警惕��,特別是在要求必須退出安全軟件才能使用時(shí)��,切不可掉以輕心��;
3.安裝操作系統(tǒng)后��,第一時(shí)間安裝殺毒軟件��,對(duì)可能存在的木馬進(jìn)行查殺��。上網(wǎng)時(shí)遇到殺毒軟件預(yù)警��,切不可隨意放行可疑程序��。
