“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

  • A+
所属分类:相关动态
摘要

近期,360安全大脑监测到一个名为“钱蜜省钱助手”的流氓软件会在用户后台下发一款集流量劫持,盗号,暗刷,QQ引流等多种功能于一体的病毒,并已逐步扩张成僵尸网络。通过360安全大脑对该僵尸网络的关联样本分析,我们发现其早在2016年七月份就已经开始传播,且一直保持着相对活跃的态势,基于其攻击…

  近期,360安全大脑监测到一个名为“钱蜜省钱助手”的流氓软件会在用户后台下发一款集流量劫持,盗号,暗刷,QQ引流等多种功能于一体的病毒,并已逐步扩张成僵尸网络。通过360安全大脑对该僵尸网络的关联样本分析,我们发现其早在2016年七月份就已经开始传播,且一直保持着相对活跃的态势,基于其攻击特点,我们将该僵尸网络命名为“黑雾”。

“黑雾”僵尸网络的感染流程异常复杂,为便于梳理各个病毒模块之间的关系,我们将其感染攻击过程分为如下三个阶段:

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

  通过流氓软件下发  劫持浏览器篡改主页

  首先,“黑雾”僵尸网络会通过“钱蜜省钱助手”下发,该流氓软件的官方下载界面如下:

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

从官网下载的安装包携带“ShanghaiQi Lu Network Technology Co., Ltd.”数字签名:

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

软件安装完成后,会将QmSaveMoneySvc.exe注册为系统服务,QmSaveMoneySvc会以“/from=qm_azb”为参数启动“钱蜜省钱助手”的主程序qm.exe,相关代码如下:

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

  该主程序qm.exe携带恶意代码,当用上文提到的命令行启动时,病毒逻辑会被调用,相关代码逻辑,如下图所示:

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

首先从http[:]//down.qm188.com/updatecfg2.ini下载云控配置,根据配置flag5中的index值,下载不同的病毒模块:

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

下载的病毒模块均经过7z格式压缩后二次加密传输,下载后经过下面的逻辑进行解密,解压缩,最后加载病毒模块demo.dll,病毒模块导出函数均为plugin_lock。加载模块逻辑如下:

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

  demo.dll会通过http[:]//down.qm188.com/check.7z下载lock.dll,解密逻辑与上面相同。Lock.dll提供了166个导出函数,包括浏览器书签篡改,主页锁定,添加插件等功能。demo.dll调用这些导出函数对用户安装的浏览器进行劫持,部分代码逻辑如下图所示(限于文章篇幅,只截取锁定首页部分):

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

进阶感染加大力度  QQ引流Steam盗号双管齐下

除了第一阶段中的劫持逻辑外,demo.dll还会下载MyThirdDemo.exe到%Appdata%\Roaming目录下进行执行,开始第二阶段的感染:

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

  MyThirdDemo.exe会释放TestDemo.exe并将其注册为系统服务,实现病毒的驻留。TestDemo.exe也是个下载者木马,根据http[:]//down.qm188.com/demo/test.ini返回的配置信息下载对应的病毒模块,在分析时下载的是ServiceDemo.exe模块。ServiceDemo.exe获取testconfig.ini配置文件,下载并执行其中的推广软件和病毒模块。testconfig.ini内容如下:

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

  其中kplnk4标签中的todayhot.exe与MyThirdDemo.exe逻辑相似,而kplnk6标签对应的666.exe则会释放出6667.exe和x7777.exe。6667.exe用来引导开始第三阶段的病毒感染流程,x7777.exe则会释放出QQ引流和盗取steam帐号的病毒模块并执行。

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

如图所示,111.exe会盗取用户的steam帐号密码和ssfn授权文件,利用wireshark进行抓包,上传相关隐私数据到C&C服务器。

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

上传Steam帐号密码

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

上传ssfn授权文件

劫持流量暗刷视频  花样作妖不停歇

  6667.exe 下载执行djwh01.exe开启第三阶段的感染,djwh01.exe下载ovb.zip并校验其校验和,然后将后续的病毒模块解压到内存中。利用抓包工具监控病毒下载ovb.zip及其校验和:

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

  djwh01.exe将ovb.zip中的病毒模块解压到共享内存中,根据run.xml中的配置信息,启动主控进程main.exe。主控进程会释放loader.dll,并通过DLL注入的方式将loader.dll注入到explorer.exe进程中,执行后加载下面的病毒插件。ovb.zip压缩文件及run.xml的内容如下:

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

ovb.zip中包含的插件数量有限,我们在loader.dll中检测到,“黑雾”的拓展性极强,还可以支持下列病毒插件的加载:

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

通过360安全大脑,我们找到了一批“黑雾”病毒插件,下面是部分插件的pdb路径:

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

  流量劫持

Hijack.dll会加载一个携带“Shenzhen zhong dong TechnologyCo., Ltd”数字签名的网络过滤驱动,配合应用层实现流量劫持,驱动文件属性,如下图所示:

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

加载劫持策略相关的配置文件,通过URL,KEY,禁止来源以及自定义的方式进行流量的劫持,相关配置文件及其规则意义如下:

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

Hijack.dll中的部分病毒逻辑如下:

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

由于劫持策略相关的下载服务器已被关闭,在分析过程中劫持规则并未生效。但是通过下图,我们可以看出病毒已生效,https根证书已经被劫持:

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

    暗刷

devdata.dll是暗刷主控模块,其调试信息中能看到病毒作者将此项目命名为 “全业务平台2017\刷量客户端”,其pdb信息如下:

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

从http[:]//zip.953nu.cn:8080/zip/%d/%c/%c/%s.zip下载刷量相关的配置进行暗刷,我们截获到的数据均以刷搜狐视频流量为主,相关配置文件如下:

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

其中部分专辑的播放量已达到4亿多次:

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

不过广大用户不必担心,结合“黑雾”僵尸网络的攻击感染态势,360安全大脑已实现针对“黑雾”的全面查杀。

“黑雾”僵尸网络谱写连环感染三部曲,360安全大脑强力查杀!

  此外,为避免“黑雾”僵尸网络进一步感染扩散,360安全大脑建议广大用户做好以下防御措施,保护个人隐私及财产安全:

   1、建议前往weishi.360.cn,下载安装360安全卫士,并保持开启;

   2、对于安全软件提示风险的程序,切勿轻易添加信任或退出杀软运行;

   3、发现电脑异常时,及时使用360安全卫士进行体检扫描,查杀病毒木马;

   4、开启360安全卫士“网页安全防护”功能,辨别各类虚假诈骗网页,拦截钓鱼网站、危险链接,保障计算机信息安全。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: