當前位置:
首頁 > 新聞 > HTTPS劫匪木馬暴力升級:破壞ARK攻擊殺軟

HTTPS劫匪木馬暴力升級:破壞ARK攻擊殺軟

新聞 09-10

目前,越來越多的網站開始註冊證書,提供對HTTPS的支持,保護自己站點不被劫持。而作為對立面的流量劫持攻擊,也開始將矛頭對準HTTPS,其中最常見的一種方法便是偽造證書,做中間人劫持。


不久前,360發布了《「移花接木」偷換廣告:HTTPS劫匪木馬每天打劫200萬次網路訪問》的相關預警。近日,360互聯網安全中心又發現一款名為「跑跑火神多功能輔助」的外掛軟體中附帶的劫持木馬,該木馬可以看作是之前劫持木馬的加強版,其運行後載入RootKit木馬驅動大肆劫持導航及電商網站,利用中間人攻擊手法劫持HTTPS網站,同時還阻止常見ARK工具(Anti-Rootkit,檢測查殺內核級木馬的專業工具)運行,破壞殺軟正常功能。




圖1

根據我們的數據分析,該木馬不僅存在於多種外掛軟體中,同時也包含於網路上流傳的眾多所謂「系統盤」中。一旦有人使用這樣的系統盤裝機,就等於是讓電腦裝機就感染了流量劫持木馬。


模塊分工示意圖:




圖2


作惡行為:


1、進行軟體推廣:


程序中硬編碼了從指定地址下載安裝小黑記事本等多款軟體:




圖3

 


圖4


2、破壞殺毒軟體:


通過檢測文件pdb文件名信息來檢測判斷Ark工具,檢測到後直接結束進程並刪除相應文件,如圖所示檢測了:PCHunter(原XueTr)、WinAST、PowerTool、Kernel Detective等,和所有頑固木馬一樣,HTTPS劫匪也把360急救箱列為攻擊目標。




圖5


刪除殺軟LoadImage回調:




圖6



圖7


阻止網盾模塊載入,其阻止的列表如下:




圖8


3、進行流量劫持


木馬會雲控劫持導航及電商網站,利用中間人攻擊手法,支持劫持https網站





圖9 


中間人攻擊示意圖


驅動調用BlackBone代碼將yyqg.dll注入到winlogon.exe進程中執行,



圖10


BlackBone相關代碼:




圖11


yyqg.dll還會導入其偽造的一些常見網站的ssl證書,導入證書的域名列表如下:




圖12


替換的百度的SSL證書:



圖13




圖14


通過雲控控制需要劫持網站及劫持到目標網站列表:雲控地址採用的是使用DNS:114.114.114.114(備用為:谷歌DNS:8.8.8.8以及360DNS:101.226.4.6)解析dns.5447.me的TXT記錄得到的連接:


獲取雲控連接地址部分代碼:




圖15




圖16



圖17


使用Nslookup查詢dns.5447.me的TXT記錄也和該木馬解析拿到的結果一致:




圖18


最終得到劫持列表地址:http://h.02**.me:97/i/hijack.txt?aa=1503482176


劫持網址列表及跳轉目標連接如下圖,主要劫持導航及電商網站:




圖19


驅動讀取網路數據包:



圖20


發送控制命令:




圖21


驅動層過濾攔截到網路數據包返回給應用層yyqg.dll, 應用層yyqg.dll讀取到數據解析後根據云控列表匹配數據然後Response一段:


<metahttp-equiv="refresh" content="0; url = %s"/> 自動刷新並指向新頁面的代碼


(http-equiv顧名思義,相當於http的文件頭作用)




圖22


被劫持後給返回的結果:自動刷新並指向新頁面:http://h.02**.me:97/i



圖23

http://h.02**.me:97/i

再判斷瀏覽器跳轉到最終帶有其推廣

ID

的導航頁面:如果是搜狗瀏覽器跳轉到:

http://www.hao123.com?123


不是搜狗瀏覽器則跳轉到:http://www.hao774.com/?381**,至此就完成了一個完整劫持過程。




圖24




圖25

劫持效果動圖(雙擊打開):




圖26


同時為了防止劫持出現無限循環劫持,其還做了一個白名單列表主要是其劫持到的最終跳轉頁面連接,遇到這些連接時則不做劫持跳轉。


http://h.02**.me:97/i/white.txt?aa=1503482177




圖27




圖28


傳播:


除了遊戲外掛外,在很多Ghost系統盤裡也發現了該類木馬的行蹤,且木馬利用系統盤傳播的數量遠超外掛傳播。使用帶「毒」系統盤裝機,還沒來得及安裝殺毒軟體,流量劫持木馬便自動運行;另外,外掛本身的迷惑性,也極易誘導中招者忽視殺軟提示而冒險運行木馬。


正因木馬宿主的特殊性,使得該類流量劫持木馬的感染率極高。據360近期的查殺數據顯示,由於系統自帶木馬,或忽略安全軟體提示運行帶毒外掛的受害用戶,已經高達數十萬之多。




圖29




 



圖30



 


再次提醒廣大網民:



1.謹慎使用網上流傳的Ghost鏡像,其中大多都帶有各種惡意程序,建議用戶選擇正規安裝盤安裝操作系統,以免自己的電腦被不法分子控制。


2.非法外掛軟體「十掛九毒」,一定要加以警惕,特別是在要求必須退出安全軟體才能使用時,切不可掉以輕心;


3.安裝操作系統後,第一時間安裝殺毒軟體,對可能存在的木馬進行查殺。上網時遇到殺毒軟體預警,切不可隨意放行可疑程序。


 *本文作者:360安全衛士,轉載請註明來自 FreeBuf.COM


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

安全從業人員常用工具指引
螳螂捕蟬黃雀在後,免費散播Cobian遠控工具背後的秘密
【FB TV】一周「BUF大事件」:Struts2又曝高危遠程代碼執行漏洞;維基解密CIA系列新工具;MongoDB啟示錄延續
Struts S2-052漏洞利用方式實驗解析(附EXP)
ShadowBrokers 又搞事!每月支付 400 萬美元,多獲得兩份新泄露的文件,你會買嗎?

TAG:FreeBuf |