温馨提示: 文中病毒链接不要尝试访问, 以免造成严重后果.
0×1 概况
今日, 御见威胁情报中心监控到大量客户端的内嵌新闻页中被嵌入恶意代码. 用户会在毫无知情的情况, 被植入挖矿木马, 银行木马, 以及远控木马等. 本波挂马波及到的客户端多达 50 多个, 影响范围非常之广. 目前该波挂马已经波及 20w + 用户.
0×2 挂马流程分析
以某视频软件为例, 该视频软件的资讯模块会访问广告页面:
hxxp://pop.baofeng.net/popv5/html/baofeng/shishangtext.html
该新闻页里会被嵌入某广告联盟的广告:
从而访问恶意页面:
hxxp:// 139.224.225.117/haohao.htm
该页面被嵌入了 "美女直播秀" 恶意广告:
该恶意广告中继续被插入了恶意代码:
最终访问带有 CVE-2016-0189 漏洞的页面:
hxxp://222.186.3.73:8080/index.html
最终, 漏洞利用成功后通过脚本下载木马: hxxp://222.186.3.73:8591/wp32@a1edc941.exe
0×3 挂马木马分析
下载后的文件为了迷惑用户, 添加了假的数字签名:
该样本运行后会下载 wp32@a3d115ae.exe 和 QQExternal.exe(木马程序) 到 %temp% 目录, 然后运行:
对 wp32@a3d115ae.exe 进行详细分析如下:
1,payload 分析:
样本运行后, 会根据受害用户机器上的 dotnet 版本号下载对应的压缩包文件, 比如本机 dotnet 版本号为 4.0.30319, 下载链接为 hxxp://storage.duapp.com/4.0.30319.zip?r=1851578, 下载下来的压缩包文件名为 4.0.30319.zip.
接着解压压缩包中的文件到 %temp% 目录, 并利用 dotnet 的 RegAsm.exe 加载压缩包的 inst.dll 进行木马的安装行为. RegAsm.exe 的命令行参数为 "/u"C:\Users\ADMINI~1\AppData\Local\Temp\inst.dll"@address 373231373637383536403136332e636f6d" . 命令行中的 address 其实为 163 邮箱 "721767856@163.com"
2, inst.dll 分析:
Inst.dll 为 c# 语言编写, 运行后会先从 hxxp://discuz.net/forum.php?mod=redirect&goto=findpost&ptid=3838167&pid=29809908 下载 vc 运行库相关 dll, 接着再以命令行的方式拉起 inst.dll.
Inst.dll 第二次运行时, 会将上文压缩包中的 LiveService.dll 以服务的行式进行安装, 服务名随机. 木马程序在安装服务时会将 LiveLog.dll 和 LiveService.dll 一起放在 C:\ProgramData 目录下, 从而在服务启动时执行恶意文件 LiveLog.dll.
3, LiveLog.DLL 行为分析
LiveLog.dll 会从 hxxp://api.ctkj.org/4.0.30319/init?14146529 下载和执行名为 init 的 pe 文件. 执行此 pe 文件也是像上文一样用 dotnet 的 RegAsm.exe 来执行.
4, Rootkit.dll 分析
上文下载下来的名为 A6BE.tmp 的文件内部名称为 Rootkit.dll,c# 语言编写, 带混淆, 去混淆后可以静态分析其逻辑. 此模块是木马的主控模块, 可以根据需要下载和执行其它功能模块.
此 dll 为从 hxxp://storage.duapp.com / 下载 Fiddler 抓包插件, 下载和执行 Fiddler.dll.gz 压缩包中的 Fiddler.dll, 下载和执行 xmr 挖矿程序, 下载和执行 TightVNC 远控程序.
1) 下载抓包插件
2) 下载挖矿程序
挖矿配置信息:
3) 下载 TightVNC 远控程序
5, Fiddler.dll 分析
Fiddler.dll 会利用 Fiddler 插件去窃取和修改一批知名网络支付平台的支付信息.
利用 Fiddler 插件截取网络协议:
截取平台如下:
支付平台名称 | 域名 |
---|---|
支付宝 | alipay.com |
京东 | jd.com |
苏宁 | suning.com |
折 800 | zhe800.com |
美丽说 | meilishuo.com |
国美 | gome.com.cn |
蘑菇街 | mogujie.com |
1 号店 | yhd.com |
唯品会 | vip.com |
亚马逊 | amazon.com |
亚马逊中国 | amazon.cn |
网易考拉 | kaola.com |
亚马逊 | amazon.co.jp |
上传截获的信息:
收信信息:
Fiddler.dll 还会从 hxxp://storage.duapp.com/bank.cfg 下载攻击者配置的收款银行账号信息, 当拦截到银行转账信息后, 会将收款人替换为攻击者的. 配置信息解压后内容如下所示:
还会连接 ddns.07e10700.com", 179 端口, 执行后门功能.
0×4 安全建议
1, 升级浏览器到 IE11, 然后安装 IE 补丁: KB3154070
https://docs.microsoft.com/zh-cn/security-updates/SecurityBulletinSummaries/2016/ms16-may
2, 安装安全软件, 拦截挂马攻击. 目前腾讯电脑管家可以进行拦截.
3, 若为网络管理员, 请把下列 ip 加入防火墙拦截列表:
- 139.224.225.117
- 107.150.50.34
- 222.186.3.73
附录 (IOCs):
Md5:
BF50ADAC7D6F7441DED2FE9CE5AA6B63(win32pro.exe)
99721A3AFD375D5CD785A3E9135BC557(4.0.30319.zip)
FAA80B8A5E56A3BDBCDD2F0B8F48FB2B(Rootkit.dll)
4125E09F74DF0A361A57C1C404D4A2F4(Fiddler.dll.gz)
2097E5A72AD1FFCC6828A9726EE748F0(Fiddler.dll)
DE1A7DEF9420D20E53018D3060303A7A(inst.dll)
58CF9ACA52A534CEF56EBB24C5EB4469(Interop.TaskScheduler.dll)
39F9F0B0B5B0E12C5815AB691739E129(LiveLog.DLL)
8CCF73C52F8CFD06338195CDD85CB8A7(QQExternal.exe)
04B19DF30B7315449ECF1EDFFD40B6AF(wp32@a1edc941[1].exe
- url:
- http://api.ctkj.org/4.0.30319/init?3415140
- http://storage.duapp.com/4.0.30319/init?3415140
- http://storage.duapp.com/4.0.30319/Fiddler.dll.gz
- http://www.discuz.net/forum.php?mod=redirect&goto=findpost&ptid=3838167&pid=29809908
- http://storage.duapp.com/xmr-stak.cfg
- http://white.fjxmxslaw.com:8889/stat4.ashx
- C2:
- http://wallet.ctkj.org/api/upload
- ddns.07e10700.com:179
来源: http://www.tuicool.com/articles/AbyEVbR