HTTPS劫匪木马暴力升级:破坏ARK攻击杀软

目前,越来越多的网站开始注册证书,提供对HTTPS的支持,保护自己站点不被劫持。而作为对立面的流量劫持攻击,也开始将矛头对准HTTPS,其中最常见的一种方法便是伪造证书,做中间人劫持。

不久前,360发布了《“移花接木”偷换广告:HTTPS劫匪木马每天打劫200万次网络访问》的相关预警。近日,360互联网安全中心又发现一款名为“跑跑火神多功能辅助”的外挂软件中附带的劫持木马,该木马可以看作是之前劫持木马的加强版,其运行后加载RootKit木马驱动大肆劫持导航及电商网站,利用中间人攻击手法劫持HTTPS网站,同时还阻止常见ARK工具(Anti-Rootkit,检测查杀内核级木马的专业工具)运行,破坏杀软正常功能。

图1

根据我们的数据分析,该木马不仅存在于多种外挂软件中,同时也包含于网络上流传的众多所谓“系统盘”中。一旦有人使用这样的系统盘装机,就等于是让电脑装机就感染了流量劫持木马。

模块分工示意图:

图2

作恶行为:

1、进行软件推广:

程序中硬编码了从指定地址下载安装小黑记事本等多款软件:

图3

图4

2、破坏杀毒软件:

通过检测文件pdb文件名信息来检测判断Ark工具,检测到后直接结束进程并删除相应文件,如图所示检测了:PCHunter(原XueTr)、WinAST、PowerTool、Kernel Detective等,和所有顽固木马一样,HTTPS劫匪也把360急救箱列为攻击目标。

图5

删除杀软LoadImage回调:

图6

图7

阻止网盾模块加载,其阻止的列表如下:

图8

3、进行流量劫持

木马会云控劫持导航及电商网站,利用中间人攻击手法,支持劫持https网站

图9

中间人攻击示意图

驱动调用BlackBone代码将yyqg.dll注入到winlogon.exe进程中执行,

图10

BlackBone相关代码:

图11

yyqg.dll还会导入其伪造的一些常见网站的ssl证书,导入证书的域名列表如下:

图12

替换的百度的SSL证书:

图13

图14

通过云控控制需要劫持网站及劫持到目标网站列表:云控地址采用的是使用DNS:114.114.114.114(备用为:谷歌DNS:8.8.8.8以及360DNS:101.226.4.6)解析dns.5447.me的TXT记录得到的连接:

获取云控连接地址部分代码:

图15

图16

图17

使用Nslookup查询dns.5447.me的TXT记录也和该木马解析拿到的结果一致:

图18

最终得到劫持列表地址:http://h.02**.me:97/i/hijack.txt?aa=1503482176

劫持网址列表及跳转目标连接如下图,主要劫持导航及电商网站:

图19

驱动读取网络数据包:

图20

发送控制命令:

图21

驱动层过滤拦截到网络数据包返回给应用层yyqg.dll, 应用层yyqg.dll读取到数据解析后根据云控列表匹配数据然后Response一段:

<metahttp-equiv=\"refresh\" content=\"0; url = %s\"/> 自动刷新并指向新页面的代码

(http-equiv顾名思义,相当于http的文件头作用)

图22

被劫持后给返回的结果:自动刷新并指向新页面:http://h.02**.me:97/i

图23

http://h.02**.me:97/i再判断浏览器跳转到最终带有其推广ID的导航页面:如果是搜狗浏览器跳转到:http://www.hao123.com?123

不是搜狗浏览器则跳转到:http://www.hao774.com/?381**,至此就完成了一个完整劫持过程。

图24

图25

劫持效果动图(双击打开):

图26

同时为了防止劫持出现无限循环劫持,其还做了一个白名单列表主要是其劫持到的最终跳转页面连接,遇到这些连接时则不做劫持跳转。

http://h.02**.me:97/i/white.txt?aa=1503482177

图27

图28

传播:

除了游戏外挂外,在很多Ghost系统盘里也发现了该类木马的行踪,且木马利用系统盘传播的数量远超外挂传播。使用带“毒”系统盘装机,还没来得及安装杀毒软件,流量劫持木马便自动运行;另外,外挂本身的迷惑性,也极易诱导中招者忽视杀软提示而冒险运行木马。

正因木马宿主的特殊性,使得该类流量劫持木马的感染率极高。据360近期的查杀数据显示,由于系统自带木马,或忽略安全软件提示运行带毒外挂的受害用户,已经高达数十万之多。

图29

图30

再次提醒广大网民:

1.谨慎使用网上流传的Ghost镜像,其中大多都带有各种恶意程序,建议用户选择正规安装盘安装操作系统,以免自己的电脑被不法分子控制。 2.非法外挂软件“十挂九毒”,一定要加以警惕,特别是在要求必须退出安全软件才能使用时,切不可掉以轻心; 3.安装操作系统后,第一时间安装杀毒软件,对可能存在的木马进行查杀。上网时遇到杀毒软件预警,切不可随意放行可疑程序。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-09-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏区块链

2018年:8个最好的WiFi黑客软件和分析工具

2017年是黑客猖狂的一年,各种勒索病毒层出不穷,大规模数据泄露频发。 安全分析和渗透测试是创建任何类型的安全网络不可或缺的组成部分,这其中的一个必备工具就是W...

60580
来自专栏FreeBuf

Adobe Flash零日漏洞 (cve-2018-4878)在野攻击预警分析

概述 2月1日, Adobe官方发布了Adobe Flash Player系列产品的安全通告(APSA18-01),一个最新的Adobe Flash零日漏洞被发...

34190
来自专栏Python攻城狮

电商静态网页建设初探1.登录页面2.注册页面

41350
来自专栏黑白安全

kail洪水攻击

在计算机行业,拒绝服务(DoS)或分布式拒绝服务(DDoS)攻击是指不法分子企图让某机器或网络资源无法被预期的用户所使用。虽然执行DoS攻击的方式、动机和目标不...

14720
来自专栏FreeBuf

革命性创新?走近“高水准”新型勒索软件Spora

勒索软件几乎每周都会增加新的“家族成员”,这类威胁的影响力不断上升。Emsisoft(奥地利的信息安全公司,主营业务有反恶意软件、互联网安全、应急响应、移动安全...

20560
来自专栏FreeBuf

远离Flash,远离危险:从Flash 0day漏洞披露到集成渗透工具包,仅用4天

6月27日,渗透测试工具包Magnitude已经成功Adobe Flash Player 0day漏洞,而这个时间仅在Adobe发布修复漏洞补丁后的四天,工具包...

22990
来自专栏FreeBuf

一个QQ钓鱼木马事件的深度追踪

0x01 今天早上刚起来,一个朋友就发给我一个文件,一看文件的名字是拿货清单.tbz2,我第一感觉是病毒,然后就打电话告诉我的那个朋友,她的QQ号码可能被盗了,...

33950
来自专栏企鹅号快讯

黑客界在平常交流的一些专业术语介绍

每天都有人问我,黑客是什么,黑客有什么术语,或者遇到黑客,我应该怎么做,我在这里也给感兴趣的朋友普及一点小知识,黑客有很多的术语,下面我会给大家介绍黑客经常用到...

224100
来自专栏FreeBuf

Kali 2.0中无线安全工具更新特性(浅谈pixie结合reaver的攻击原理)

0x00 背景知识 WPS(Wi-FiProtected Setup,Wi-Fi保护设置)是由Wi-Fi联盟组织实施的认证项目,主要致力于简化无线网络的安全加密...

37350
来自专栏沈唁志

整合ThinkPHP功能系列之微信企业付款至用户零钱银行卡

68440

扫码关注云+社区

领取腾讯云代金券