您现在的位置是:立地书橱网 > 焦点
网络暗黑世界的“域影”攻击:运营商劫持LOL等客户端海量级挂马
立地书橱网2024-05-09 03:53:42【焦点】3人已围观
简介【目录】一、起因从上周末开始,360互联网安全中心监控到一批下载者木马传播异常活跃。到3月7号,拦截量已经超过20W次,同时网页挂马量的报警数据也急剧增加。在对木马的追踪过程中,我们发现木马的传播
【目录】
一、域影起因
从上周末开始,网络360互联网安全中心监控到一批下载者木马传播异常活跃。暗黑到3月7号,世界拦截量已经超过20W次,攻L等端海同时网页挂马量的击运劫持报警数据也急剧增加。在对木马的营商追踪过程中,我们发现木马的客户传播源头竟然是各家正规厂商的软件,其中来自英雄联盟和QQLive的量级占了前三天传播量的95%以上。而在受感染用户分布中,挂马河南竟占到了72%。域影
木马传播源TOP:
英雄联盟AirLolClient.exe
QQLiveBrowser.exe
youkupage.exe
QyFragment.exe
QQGAMESNSWebBrowserIEProc.exe
SogouInput7.4.1.4880SohuNews.exe
网上的网络用户反馈:
在对数据分析之后,我们确认,暗黑这次攻击事件和去年通过视频客户端挂马是世界同一个团伙所为,使用的攻L等端海技术手段也比较相似。(《祸起萧墙:由播放器引爆的全国性大规模挂马分析》http://blogs.360.cn/360safe/2015/06/26/trojan-pass-player/)本次木马传播,主要是通过运营商(ISP)对用户的网络访问做内容劫持,在html代码中插入一段iframe的广告代码所引起的。在这段广告代码中,为客户端引入了带挂马攻击的flash文件。而国内仍有很多桌面客户端使用旧版带有漏洞的flash插件,如英雄联盟,QQLive等。flash的漏洞,造成了这些客户端本身易受攻击,而客户端本身也没有做安全防护,没有对通信进行加密,在ISP的攻击面前不堪一击。如果用户计算机此时又没有安装带有漏洞防护功能的安全软件,就会造成用户计算机被感染。
在联系用户追查问题的时候,发现用户打开任何网页的时候都有可能中毒,显然并不是特定网站被挂马导致的。该用户在打开了一个凤凰网新闻页面的时候便触发了木马,于是我们查看该网页,发现了如下代码:
很显然,在一个itemscope的div元素下,出现了一个指向majore.b0.upayun.com的脚本元素和一段iframe嵌入页面。
而在分析人员自己的机器中(北京市电信)访问相同的页面,则显然没有这两个元素:
更为关键的是iframe中又嵌入了一层iframe指向muhlau.cn这个域名。为了方便查看,我们单独打开了这个页面,呈现出来的是一个看似正常的flash广告动画,但仔细看代码发现——这里面还有两层iframe嵌套,而在最里层的,是一个根本看不到的flash文件(截图中红框圈出来的就是这个看不见的flash文件的位置)
同时,查看浏览器的Network监控,也确认确实加载了这个swf文件:
拿到swf文件后分析来看,本身并没有什么实质性的动画内容,反倒是含有一段经过doswf加密的脚本:
通过抓取内存dump可以看到明显的shellcode字串以及加载shellcode的代码:
含有恶意代码的flash文件一旦被带有漏洞的flash插件展示,便会触发木马下载动作,从3g4s.net域名下获取一个可执行文件,下载到本地并执行。
此次挂马,攻击者通过“上海米劳广告传媒有限公司”投放的广告内容。
主要的挂马页面:
hxxp://www.muhlau.cn/1/index001.html
hxxp://majore.b0.upaiyun.com/06/media_1.html
所挂的flash木马:
hxxp://www.ip.muhlau.cn/LSQZA.swf
服务器地址:222.186.59.36(江苏省镇江市电信)
截至我们发稿时,flash攻击代码已经有超过1000W次的独立用户访问。单在3月9号一天,就有独立用户访问到了挂马页面。
一分钟内,有超过6800次的访问。
挂马页面的引用来源,主要是广告主的广告跳转页面:
地区分布可以看出,河南占65%以上:
防护中心3月9日,单天统计到的木马传播趋势:
此次木马传播者准备了大量木马的免杀版本,在对抗过程中,高峰时木马每分钟均会更新一个版本,并针对多款安全软件做免杀处理。木马本身是一个简单下载者加广告程序,但更新极为频繁,仅3月9号一天就更新超过300次。
客户端被flash挂马之后下载执行木马的情况截图:
捕获的各种挂马程序:
360安全卫士拦截木马启动:
被恶意flash文件下载到本地后以ad为参数执行;而广告程序通过判断启动参数来决定执行什么行为:
同时,还会检查当前系统环境来判断自己是否在虚拟机环境中:
在确认可以正常运行后,广告程序会先访问指定的推广服务器获取推广列表:
之后则根据推广列表的内容打开一个淘宝页面来推广其淘宝店并弹出广告弹窗:
写入开机启动项:
在整个木马传播过程中,有3个团体参与其中。
渠道由ISP负责,向页面中插入广告,它可以控制其全部用户。
广告商是来自上海的米劳传媒,其控制下面几个挂马传播服务器:
hxxp://www.muhlau.cn/1/index001.html
hxxp://majore.b0.upaiyun.com/06/media_1.html
hxxp://www.ip.muhlau.cn/LSQZA.swf
222.186.59.36
真正的木马作者,控制着swf挂马文件触发之后的全部服务器:
服务器ip:58.218.205.91
hxxp://down.3g4s.net/files/DeskHomePage_179_1.exe
hxxp://down.seakt.com/tpl.exe
hxxp://tj.takemego.com:808
hxxp://tj.kissyouu.com:808
hxxp://tj.take1788.com
服务器ip:58.218.204.251
hxxp://down.shangshuwang.com/tpl.exe
对这些服务器whois查询发现,服务器均为今年2月左右新注册域名,并且均作了隐私保护,可谓非常之狡猾。
通过挂马服务器后台发现,攻击者来自四川省南充市
218.89.82.229(四川省南充市电信) 2016/03/08 08:49:55
139.203.94.136(四川省南充市电信)2016/03/0813:25:39
对其进一步分析,我们获取到了木马作者的联系方式:
作者QQ:31577675**(主号,不常用)
测试使用QQ5542447**(不常用)
1256403**主号(常用)
通过获取到的各方面信息,我们分析出了这个推广团伙的策略手段。首先他们会通过广告商购买渠道的广告展示量,这个过程中,他们会选择一些监管不严的广告商,使自己带有木马的广告不至于被发现。其次会选取客户端软件来展示广告,由于大多数浏览器会升级flash插件,会影响其木马传播。攻击者更青睐于防护脆弱的客户端软件,最后通过传播的下载者推广软件和广告变现。
安全建议:
做为互联网的基础服务商,运营商应该注意自身行为,切莫使自己的商业广告行为成为木马传播的帮凶;而各大客户端软件,更应该注重用户计算机的安全体验,做好自身漏洞的修复,及时更新所使用的第三方插件,不要再因为已知的软件漏洞再给用户带来安全风险;作为责任的软件厂商,也需要积极推进流量数据加密,来预防在通信过程中被劫持的情况发生;对于广大用户来说,使用一款靠谱的安全软件,开启软件的实时防护尤为重要。
很赞哦!(314)
上一篇: 荷兰VS卡塔尔谁更厉害
站长推荐
友情链接
- 送男朋友礼物推荐,男生实用生日礼物推荐,送男友礼物200元左右,男生礼物500元以内,500到1000礼物,500元-1000元,1000元以上男生实用的礼物,纪念日礼物推荐
- 魔兽世界怀旧服厄运之槌来袭,又到了战斗的时候了
- 造梦西游3猪八戒攻略,造梦西游3:猪八戒顺利通关攻略
- 一拳超人:最强之男【破解无限金币版】:一拳超人最强之男完美还原动画 游戏测评
- 恐怖马桶人游戏
- 造梦西游3井木衣获取攻略:详细步骤助你轻松获得!
- 解读DNF盗号流程 教你如何有效防止被盗号
- 王者荣耀明世隐怎么出装 用小明上分
- 盗贼之海2.0.19.2版本更新内容详情
- 新手也能做拿下的法羊编织卡包(95图、115步详细教程)
- 【卡牌故事】黑市拍卖行的掌柜——郭雅夫人
- 王者荣耀凤求凰保底多少钱
- 炉石传说海盗战2.0首周传说前20 实战心得分享
- 一拳超人:最强之男【破解无限金币版】:一拳超人最强之男完美还原动画 游戏测评
- 增长药剂和冬泉谷火酒/药剂哪个变的大
- 7年女玩家讲述,我为什么不再玩《天龙八部》
- 使命召唤手游国庆节日韩服上线时间
- 俱乐部名字大全英文
- 梦幻西游摇钱树苗怎么种最好(梦幻摇钱树怎么养的窍门)
- 英雄联盟怎么打字回复
- 7年女玩家讲述,我为什么不再玩《天龙八部》
- 《原神》七天神像位置在哪 七天神像位置坐标一览
- 造梦西游3法宝怎么用 使用方法说明
- 梦幻西游摇钱树苗怎么种最好(梦幻摇钱树怎么养的窍门)
- dnf剑魂完美加点
- 凤求凰13号几点返场?凤求凰还不能抽是为什么?
- 金铲铲之战手游S7刺转奥拉夫阵容出装及运营方案推荐
- Tiger数独加速器
- 重装上阵怎么拼教程
- dnf守护者祭坛攻略32普通,求213253前20项
- 网吧求生之路2局域网联机教程(网吧求生之路怎么连击)
- 魔兽怀旧服地图选择攻略 WLK地图首选推荐
- 重生81从收破烂开始致富林然袁千云
- 原神2.1版本什么时候上线?2.1版本更新时间内容一览
- 关于腐竹在世吞挂机被玩家推下去摔死这件事
- 手机游戏厂商,手游平台十大排名
- 金铲铲未来守护者装备(星之守护者怎么合成转职)
- 做遗迹战场最靓的崽 典藏宝瓶II混搭推荐
- 莱州市得川试验仪器有限公司
- 英雄联盟手游:上单四姐妹横行?但这个猛男英雄可以吊打