潘多拉魔盒開啟：全國多省爆發大規模軟體升級劫持攻擊

不久前，Petya勒索病毒變種在烏克蘭爆發，並蔓延到歐洲多個國家的大型企業。病毒攻擊的根源是劫持了烏克蘭專用會計軟體me-doc的升級程序，使用戶更新軟體時感染病毒，從而對眾多企業的系統和數據造成慘重損失。

劫持軟體升級「投毒」並不是新鮮的攻擊手法，國內也屢有發生。但就在Petya勒索病毒變種轟動全球後短短數天時間內，山東、山西、福建、浙江等多省的軟體升級劫持達到空前規模，360安全衛士對此類攻擊的單日攔截量突破40萬次！

儘管國內的軟體升級劫持目前僅僅被利用流氓推廣軟體，但是大規模的網路劫持、大量缺乏安全升級機制的軟體，如果再加上「商業模式」非常成熟的勒索病毒，無疑會造成災難性後果。

事件還原

近期有多款軟體用戶密集反映360「誤報了軟體的升級程序」，但事實上，這些軟體的升級程序已經被不法分子惡意替換。

下圖就是一例愛奇藝客戶端升級程序被劫持的下載過程：可以看到伺服器返回了302跳轉，把下載地址指向了一個並不屬於愛奇藝的CDN伺服器地址，導致下載回來的安裝包變為被不法分子篡改過的推廣程序。

此次被劫持升級程序的流行軟體遠不止愛奇藝一家，下圖就是一些由於網路劫持而出現的「假軟體」。

圖2 被網路劫持替換的「假軟體」

以下，我們以偽造的百度網盤安裝程序 「BaiduNetdisk_5.5.4.exe」為例分析一下惡意程序的行為。

與正常的安裝程序相比，該程序不具備合法的數字簽名，並且體積較大。

圖3 被篡改的偽裝安裝程序

圖4 正常的安裝程序

通過對比可以發現，兩者在內容上還是有較大差別。兩者只有8.7%的函數內容相同。

圖5 偽裝安裝程序和正常安裝程序函數對比

程序最初執行時會從從資源段中釋放一個PE文件並執行，該文件就是程序所偽裝的正常安裝包。因此，該偽裝程序是在運行正常安裝包的同時靜默安裝其他推廣程序。在正常安裝包運行時，本程序會讀取bjftzt.cdn.powercdn.com站點的子目錄下的一個dat文件的內容，dat文件路徑根據安裝程序不同而不同，本文分析的程序「BaiduNetdisk_5.5.4.exe」所讀取的是bjftzt.cdn.powercdn.com/upc/20170329/2A7BF0576BE7380A30B8669182226FBD.dat。程序請求數據包內容如下圖所示：

圖6 請求數據包內容

所讀取的dat文件的內容如下圖所示：

圖7 dat文件內容

dat文件中的內容經過base64+DES加密。DES密鑰經過簡單加密後硬編碼在程序中，下圖展示了DES密鑰的解密過程：

圖8 DES密鑰解密過程

解密後得到的DES密鑰為「eh9ji8pf」。經分析發現多款偽裝程序使用同一個DES密鑰。

之後程序對dat文件的內容進行base64+DES解密，解密函數如下圖所示：

圖9 解密函數

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！