「凈廣大師」病毒HTTPS劫持技術深度分析
一、背景
近期,火絨團隊截獲一個由商業軟體攜帶的病毒,並以其載體命名為「凈廣大師」病毒。在目前廣為流行的「流量劫持」類病毒中,該病毒策略高明、技術暴力,並攻破HTTPS的「金鐘罩」,讓百度等互聯網廠商普遍使用的反劫持技術面臨嚴峻挑戰。且該病毒驅動在」凈廣大師「卸載後仍然會持續載入並劫持百度搜索流量,行為及其惡劣。
我們曾在此前報告(
「凈廣大師」病毒攻破 HTTPS防線 劫持百度搜索流量牟利
)中進行過病毒簡述,本文中我們將對「凈廣大師」病毒進行詳細分析。
二、 樣本分析
在「凈廣大師」安裝過程中,我們注意到「AdAnti.exe」進程在系統驅動目錄下釋放了一個隱藏的文件名為「rtdxftex.sys」的驅動。如下圖所示:
圖2-1、「凈廣大師」安裝過程
該驅動是「AdAnti.exe」從「凈廣大師」安裝目錄下複製到系統驅動目錄的,該驅動有32位和64位兩個版本,文中主要依據32位版本的病毒驅動(TdxFlt_i386.sys)進行分析。如下圖所示:
圖2-2、病毒驅動文件
在病毒驅動載入後,通過提取內存字元串,我們獲得到了更多與病毒相關的特徵信息,而且這些特徵在靜態狀態下是無法在病毒驅動文件中提取到的。如下圖所示:
圖2-3、病毒驅動載入後的內存數據
通過我們對該病毒驅動的分析,我們發現該驅動運行會先執行兩次解密操作,第一個解密後獲得驅動運行時所需的數據,第二個解密操作可以得到一個病毒動態庫。解密代碼如下圖所示:
圖2-4、病毒解密代碼
根據其代碼中的解密演算法還原,我們可以解密出該驅動使用的一個病毒動態庫和在其內部使用的一些關鍵的數據,如下圖所示:
圖2-5、病毒動態庫解密
圖2-6、病毒數據解密
通過對病毒驅動的分析,我們發現病毒會將其解密後的動態庫通過APC注入的方式注入到「explorer.exe」進程中。如下圖所示:
圖2-7、病毒注入「explorer.exe」代碼
圖2-8、APC注入代碼(1)
圖2-9、APC注入代碼(2)
在病毒注入「explorer.exe」之後,百度的搜索鏈接便會被劫持帶上病毒製造者的計費ID。在我們重現的環境中,該病毒劫持到的計費ID為「93718154_hao_pg」。如下圖所示:
圖2-10、百度被病毒劫持
通過分析得知,該病毒是通過代理的方式,以中間人攻擊的形式來劫持HTTPS流量。如下圖所示,病毒驅動注入到explorer.exe進程的代碼會監聽10100埠。
圖2-11、注入後explorer的病毒代碼劫持IE的聯網請求
當瀏覽器訪問百度時,病毒驅動會將連向百度(61.135.169.125)443埠(HTTPS)的鏈接重定向到本地的10100監聽埠,explorer中的病毒代碼再代替瀏覽器發起與遠端Web伺服器的鏈接進行通訊。該病毒同時通過自己攜帶的證書分別與瀏覽器和遠端Web伺服器完成SSL握手,進而以中間人攻擊的形式完全控制HTTPS鏈路通信。
通過對該病毒注入explorer的動態庫進行分析,發現在該動態庫資源中,我們可以看到病毒」劫持」所用到的SSL證書。如下圖所示:
圖2-13、病毒發起劫持所用到的SSL證書
在病毒將該動態庫注入explorer後,我們在explorer.exe進程的內存塊中也同樣可以提取到與上圖相同的證書數據。
圖2-14、explorer.exe進程內存字元串
在將上述內存中的證書數據保存為證書文件後,將其與病毒劫持證書進行對比,兩者的根證書與子證書完全一致。如下圖所示:
圖2-15、靜態解碼的劫持證書(左為根證書、右為子證書)
圖2-16、被劫持現場中顯示的劫持證書(中為根證書、右為子證書)
三、 同源性分析
通過在火絨樣本管理平台中搜索「凈廣大師」病毒使用的百度計費ID「93718154_hao_pg」,我們得到了少量關聯樣本。如圖所示:
圖3-1、部分樣本sha1
圖3-2、帶有推廣號「93718154_hao_pg」的病毒樣本
通過分析,我們發現這些樣本與之前截獲的「凈廣大師「病毒樣本具有極高的同源性,且火絨已全部檢出。同時,我們也從VirusTotal上查到友商對該病毒的檢出結果。如圖所示:
圖3-3、友商對「凈廣大師」病毒同源樣本檢出結果
隨後,我們有提取了這些病毒代碼中的部分關鍵數據,在火絨樣本管理平台中通過關聯查詢得到了更多的同源性樣本。我們隨即將這些病毒樣本按捕獲的時間進行了排序對比,如下圖所示:
圖3-4、該病毒家族以往樣本數據
通過上圖我們可以看出,無論是病毒的數據特徵,還是病毒工程的編譯路徑都顯示該家族的所有病毒樣本與「凈廣大師「病毒一樣,都出自同一個人。根據我們收集到樣本時間來看,近段時間以來該病毒正在不斷地進行迭代更新。從最早期樣本運行時會產生日誌,再到後來使用多個推廣計費號劫持百度搜索,到最後現在版本將病毒數據和病毒動態庫以加密方式存放在驅動鏡像中。隨著病毒的不斷迭代,病毒的複雜程度正在不斷提升。
四、 附錄
文中涉及樣本SHA1:
文件名 | SHA1 |
|---|---|
AdAnti.exe | e06f337bd7512d5f278c8d064356f480b943bd19 |
TdxFlt_i386.sys | 25670f556ee4fd376164dcb43cf06ae1bad26dd5 |
TdxFlt_amd64.sys | ebe3aa18a2b62bfab7fb09b078f6f00c3f8525b1 |
「凈廣大師」病毒同源樣本SHA1:
病毒名 | SHA1 |
|---|---|
Rootkit/NetSec.a | 03386c58c4d80522246a4e39e10f99fd31ec8a77 |
Rootkit/NetSec.a | 03ac723bcf44a8315390a02cc2793b15e698d4aa |
Rootkit/NetSec.a | 03f0bedd48d7a6b4f0c13753148042f0b651e828 |
Rootkit/NetSec.a | 047a841a77a21adc21d36050d6f6ef6113f3c824 |
Rootkit/NetSec.a | 09fbef91d17b722a1fa5abcd26e5e8fe7d783cdc |
Rootkit/NetSec.a | 0a350ca15112db2aae421c38579485f478e6b13a |
Rootkit/NetSec.a | 0aa4a878867a572c9ef4944a55f6e1bada1dddf5 |
Rootkit/NetSec.a | 0c8c66abc446ad15cdd2a9ac24f5d5fae74072cf |
Rootkit/NetSec.a | 11b0047f26a4f54e5e0268a6d8bd2fa386b3b482 |
Rootkit/NetSec.a | 12a2b07c1a2588fc0faf42c70cdc0d8b1d21ce51 |
Rootkit/NetSec.a | 143e5e6c00d511b1178ddbc08877c531c296e0f2 |
Rootkit/NetSec.a | 1573ccdd3784691f0c17eda6027da5ce123841b2 |
Rootkit/NetSec.a | 1868141e109d391fc34d8f586ae02b916cae4644 |
Rootkit/NetSec.a | 1de1300423b05c206b5062a9003e56951479e198 |
Rootkit/NetSec.a | 1def02236c71777d1fefcf6cdfcde1e322b763d0 |
Rootkit/NetSec.a | 243494bbac4b50587cc7d227b9f6a03c0343893a |
Rootkit/NetSec.a | 248884105ea5291972ad6c6e8a75941b59c3334a |
Rootkit/NetSec.a | 26319f416b0416ba48c828115d369f1efa64b8f9 |
Rootkit/NetSec.a | 27b459c686b0a40bd12ba8ed1316e3126eb9e9d2 |
Rootkit/NetSec.a | 27d8512fd7da189f649eff2cd0274a406405620b |
Rootkit/NetSec.a | 289ad9787b6b06ab46007e46e4b7954e0d8a476c |
Rootkit/NetSec.a | 2e1c56b39b6db506a53a05c4ee8270ec48257e33 |
Rootkit/NetSec.a | 2f5a9fc32567140253bf49153b22cf5c868ed06e |
Rootkit/NetSec.a | 3470f3b06f387bb7bb55459c0786f6ed512e926d |
Rogue/NetSec.gen | 0a1655d06ed5a6550b495df627cd76bd0ab046ff |
Rogue/NetSec.gen | 0c9226676127709d032cff8c695c14abba49c3cf |
Rogue/NetSec.gen | 177f5703f4ba8c146e955b5bdfe6860d4cb4f7f1 |
Rogue/NetSec.gen | 1fb098637af04af4b7f7cd4bf3521d8d0d1f716c |
Rogue/NetSec.gen | 25670f556ee4fd376164dcb43cf06ae1bad26dd5 |
Rogue/NetSec.gen | 25822c34eabe5c1a0d1051a1836f5b50196c7f08 |
Rogue/NetSec.gen | 297b687805f31cde2be0d55e7ec25acfdbd9a02c |
本文作者:火絨安全,未經許可禁止轉載
※惡意程序分析利器PowerShellArsenal
※盤點2016年「最創新」的8種攻擊方式 | FreeBuf年終策劃
※自動化、安全分析和人工智慧,從Gartner預測看網路安全新規則
※一種被動的Tor網路去匿名化方法
TAG:FreeBuf |
※百度雲磁碟CDS、對象存儲BOS技術深度解析
※深度解析《ARKTIKA.1》:大厂+剧情/射击+细节=VR游戏神作
※專家深度剖析HBV-DNA檢測結果
※深度學習之四大經典CNN技術淺析
※深度解析A級項目——TenX
※深度:一篇文講完FENTY PUMA by RIHANNA!
※深度對比超貴婦級的三支洗面奶CPB、POLA、THE Ginza!
※電腦市場新生力量,HUAWEI MateBook X深度評測
※IBM聯合NVIDIA開發最快的商用深度學習系統
※IPAG MBA深度了解3-文化產業管理
※IPAG MBA深度了解2-藝術和時尚管理
※再現圈錢神器 大眾T-ROC深度解析/國產前瞻
※IPAG MBA深度了解之六-旅遊管理
※「ICML教程」深度強化學習,決策與控制(117 PPT)
※HTC U11深度體驗:攜手百度DuerOS發力人工智慧
※IPAG MBA深度了解之七-金融
※深度解讀STEAM教育(三)
※深度解讀STEAM教育(二)
※SMILE與FS-LASIK對近視眼角膜基質切削深度可預測性的比較