火絨安全:灰色產業鏈成病毒傳播最大渠道流量生意或迎來最後的瘋狂
劫持瀏覽器、刷取流量等行為是流氓軟件常見行為,而隨著安全廠商持續打擊、普通用戶的安全意識提升,讓病毒團伙、流氓軟件廠商的獲利空間被逐漸壓縮。近期,“火絨威脅情報系統”監測到,病毒團伙為了獲取更多的利潤,開始與廣告推廣平台“合作”暗刷流量,以此欺騙用戶和廣告主、對抗安全廠商。這種病毒和廣告聯盟協同暗刷坑害廣告主的行為、這種近乎癲狂的傳播模式,似乎在宣告“流量生意”的徹底黑化。
根據“火絨威脅情報系統”監測發現,萬能壓縮、萬能看圖、Clover等多款軟件正在靜默推廣後門程序“眼睛的守護神”,截至到目前,已有幾十萬用戶被捆綁安裝該後門程序。該後門程序被捆綁安裝至用戶電腦後,會通過遠程服務器下載病毒,並靜默推廣魯大師手機模擬大師等其它多款軟件。通過查驗簽名得知,“眼睛守護神”的數字簽名與其下發的病毒簽名相同,或系同一家病毒軟件廠商所為。
用戶下載上述軟件後,該後門程序即會進入電腦並暗自安裝,安裝過程中不會出現任何提示,且安裝完成後也不會在桌面、開始菜單中創建任何相關快捷方式,用戶很難找到軟件功能入口。
安裝完畢後,後門程序會通過遠程服務器在後台悄悄下載病毒到本地執行。病毒可以劫持用戶瀏覽器首頁、暗刷流量,甚至會令安全軟件部分防禦功能失效。該病毒更加流氓之處在於,將用來刷取流量的頁面廣告內容全部設置為不可見,病毒在暗刷流量時用戶完全無法察覺。此外,該後門程序還會靜默推廣魯大師手機模擬大師等其它多款軟件。
值得注意的是,萬能壓縮等系列軟件下載量較大,其推廣行為也較為瘋狂(2018年雙十一期間,火絨就這些軟件的流氓推廣進行跟踪分析,詳情見報告《”雙十一”成流氓軟件爆發高峰日均侵權推廣1.7億次》),目前已經造成病毒在短時間內大量傳播的影響和危害。火絨工程師提醒廣大用戶小心防範,如果下載過上述軟件,請盡快使用安全軟件進行排查。
火絨用戶使用“火絨安全軟件”(個人版4.0與5.0公測版、企業版)最新版即可查殺上述病毒。
附【分析報告】:
一、病毒分析
近期火絨發現一款名為眼睛守護神的軟件正在廣泛傳播,該軟件實為偽裝成正常軟件的後門程序。該後門程序會通過C&C服務器配置下載執行的病毒會進行首頁劫持、暗刷流量,甚至會使安全軟件部分防禦功能失效(通過移除正常軟件內核回調的方式),除下載執行病毒文件外,該後門程序還會靜默推廣包括魯大師手機模擬大師在內的多款軟件。通過溯源分析,我們發現該後門程序會通過萬能壓縮、萬能看圖、Clover等多款軟件以靜默推廣的方式進行傳播。傳播流程,如下圖所示:
傳播流程圖
後門程序安裝程序與我們截獲的其中一個病毒驅動文件均帶有“南京星洪科技有限公司”有效數字簽名。文件信息,如下圖所示:
文件信息
數字簽名信息,如下圖所示:
數字簽名
眼睛守護神
眼睛守護神安裝程序為7z自解壓包,安裝過程中不會出現任何安裝提示,且安裝完成後不會在桌面、開始菜單中創建任何相關快捷方式,用戶很難找到軟件功能入口。眼睛守護神傳播病毒流程,如下圖所示:
眼睛守護神傳播病毒流程
上圖中調用關係中,EPSvcControl雖然被EPTool調用後執行後續病毒傳播邏輯,但是EPTool中也存在相同的雲控代碼,可以獨立下載執行其他文件甚至病毒。EPTool調用EPSvcControl模塊,如下圖所示
調用EPSvcControl.exe模塊
EPSvcControl模塊被調用後,會從C&C服務器地址hxxp://biz.chlbiz.com/files/eyepatron/conf/remaintask.dat下載配置文件。相關代碼,如下圖所示:
下載remaintask.dat文件
下載到文件內容後,通過BASE64+AES解密(密鑰為“xcN2gedfty2iCjkL”)後,得到json格式的推廣配置文件。相關代碼,如下圖所示:
解密文件
解密之後的推廣配置文件中包含有推廣觸發條件,主要包含排除的城市名、觸發概率、檢測的安全軟件進程名和推廣程序下載地址。經過我們一段時間的跟踪,被下載執行的病毒文件在今年7月之前為acm.exe(釋放驅動劫持首頁、暗刷流量),在7月份之後被下載執行的病毒文件為InstExe_????. exe(流量暗刷,下文中稱其為InstExe),且至今該病毒依然在進行更新。病毒傳播時間線,如下圖所示:
病毒傳播時間線
下載執行InstExe病毒文件的相關配置內容,如下圖所示:
配置文件
下載執行acm.exe的相關配置,如下圖所示:
配置文件
acm.exe
acm.exe會釋放加載隨機名病毒驅動,驅動成功加載後會通過注入進程的方式劫持瀏覽器首頁,並創建瀏覽器控件窗體進行流量暗刷。該病毒進行首頁劫持時現象,如下圖所示:
首頁劫持現象
現階段該病毒注入explorer後會在其創建的瀏覽器控件中顯示C&C服務器頁面hxxps://whale123.com/stat/corp.html(站長統計)和hxxps://whale123.com/stat/ie .p HP(流量暗刷),用來刷取用戶流量。由於病毒創建的瀏覽器控件所在窗體在用戶可視範圍之外,所以在刷取流量時用戶不會有任何察覺。窗體位置相關信息,如下圖所示:
窗體位置相關信息
相關窗體,如下圖所示:
瀏覽器控件窗體
隨機名驅動
acm.exe運行後,首先會釋放加載隨機名病毒驅動。該病毒驅動文件同樣也帶有“南京星洪科技有限公司”有效數字簽名,與眼睛守護神後門程序使用的數字簽名相同,且該病毒由眼睛守護神後門程序進行傳播,所以上述二者俱有同源性。如下圖所示:
病毒驅動數字簽名信息
病毒驅動的主要功能是將惡意代碼注入到explorer.exe、iexplore.exe等進程中進行首頁劫持和流量暗刷。釋放註冊病毒驅動相關代碼,如下圖所示:
釋放加載病毒驅動相關代碼
病毒驅動主要功能分為兩個部分,將惡意代碼注入到指定進程、刪除其他驅動註冊的回調函數。該病毒驅動加載後,首先會初始化注入相關的數據,包括需要注入的惡意代碼數據、系統版本等。有意思的是,該病毒為了提高自身的隱蔽性,病毒安裝後的前60天與大於60天后注入的惡意代碼內容不是相同的。前60天僅會通過C&C服務器中搭建的跳轉頁面劫持推廣計費名,並不會改變最終的訪問地址;60天之後,只要是指定的瀏覽器進程啟動,都會將啟動參數劫持為帶有其自身推廣計費名的2345導航鏈接。注入數據相關初始化代碼,如下圖所示:
初始化注入數據
在註入資源初始化時,會將需要注入的進程名列表進行分割後,逐個計算CRC32,用於後續注入操作。相關代碼,如下圖所示:
將進程名逐個計算CRC32
被惡意代碼進程注入的軟件列表,如下圖所示:
軟件列表
注入功能主要通過進程回調和模塊加載回調實現,當進程啟動時,病毒註冊的進程回調負責將需要注入的進程PID加入到需要注入的數據列表中,之後在模塊加載回調中將惡意代碼注入到指定進程。進程回調相關代碼,如下圖所示:
進程回調
在記錄注入進程時,會判斷進程名的CRC32是否在需要注入的進程列表中,之後再根據進程的平台版本(x64/x86)插入到不同的進程列表中。相關代碼,如下圖所示:
將進程PID插入到進程列表
在模塊加載回調中,如果發現當前加載模塊的PID在進程列表中則會根據進程的平台版本(x64/x86)判斷需要獲取調用LdrLoadDll、Wow64ApcRoutine、LdrGetProcedureAddress、NtProtectVirtualMemory函數地址進行進程注入。如下圖所示:
模塊加載回調
插入APC相關代碼,如下圖所示:
插入APC相關代碼
除此之外,病毒驅動還會創建內核線程刪除其他軟件進程回調和模塊加載回調。首先,病毒代碼會獲取需要放過的驅動模塊基址和模塊範圍(相當於白名單)。之後在PsSetCreateProcessNotifyRoutine函數二進制代碼中找到進程回調函數隊列,將除白名單以外的所有進程回調移除。有意思的是,除系統驅動程序和病毒自身外,相關病毒代碼中僅會排除360安全衛士名為“360FsFlt.sys”和“hookport.sys”的驅動程序。被排除的驅動白名單,如下圖所示:
白名單
相關代碼,如下圖所示:
移除進程回調
然後再通過PsSetLoadImageNotifyRoutineEx或者PsSetLoadImageNotifyRoutine獲取模塊加載回調函數隊列,將白名單以外的回調移除。相關代碼,如下圖所示:
移除模塊加載回調
被注入的惡意代碼
被注入的惡意代碼中主要包含兩部分功能:劫持瀏覽器啟動參數和釋放加載corp.dll(用於進行流量暗刷的病毒模塊)。受影響的瀏覽器與前文驅動中內容相同,此處不再進行贅述。當啟動進程與劫持列表中情況相符時,即會修改瀏覽器進程的啟動參數。相關代碼,如下圖所示:
劫持代碼
被劫持的網址可以通過%APPDATA%safebrainconf.ini進行獲取,如果獲取不到會設置為代碼中設置的默認值(默認值代碼中所示)。相關代碼,如下圖所示:
獲取啟動參數
釋放加載corp.dll相關代碼,如下圖所示:
釋放加載
corp.dll
corp.dll動態庫加載後會創建瀏覽器控件窗體,並將起始URL設置為網頁鏈接hxxps://whale123.com/stat/corp.html,之後再將頁面跳轉到hxxps://whale123 .com/stat/ie.php進行流量暗刷。www.whale123.com為聚軟科技廣告投送平台官網地址,有意思的是在該站點下面的ie.php頁面中展示的廣告內容均不可見。創建瀏覽器控件窗體相關代碼,如下圖所示:
創建瀏覽器窗體
在窗體創建時會設置timer,在窗體創建300秒後將頁面設置為暗刷頁面。相關代碼,如下圖所示:
設置暗刷頁面
ie.php是一個跳轉頁面,會基於一定概率跳轉到流量暗刷頁面刷取流量。除此之外,用來刷取流量的頁面對廣告內容全部設置了不可見屬性,所以即使當用戶將窗體移動至可見區域內也依然無法確認該窗體在刷取流量。ie.php中的html代碼,如下圖所示:
ie.php中的html代碼
該頁面運行後會刷取多個站點的流量,包括《神武3》官網、風行網等。刷取流量所訪問的網站頁面,如下圖所示:
刷取流量所訪問的網站頁面
所以,這個將自己標榜為精準投放的廣告投放平臺本身就做著流量暗刷的灰色業務和病毒一起“合作”暗刷流量坑害廣告主的利益。
聚軟科技廣告投放平台首頁
InstExe
該病毒與acm.exe功能相似,運行後會創建隱藏的瀏覽器控件窗體暗刷流量,但該病毒還在持續更新中,病毒運行後還會檢測本地系統環境後將相關信息上傳至C&C服務器(hxxp://192.186.7.71:2001)。該病毒為了躲避安全軟件查殺,其對主要功能模塊進行了加密。解密相關代碼,如下圖所示:
解密主要病毒功能模塊
該病毒為了提高自身隱蔽性,運行後會檢測安全軟件和安全分析工具,從而躲避安全軟件查殺。檢測內容,如下圖所示:
被檢測的安全軟件
被檢測的安全分析工具,如下圖所示:
被檢測的安全分析工具
該病毒運行後會將本地系統信息(系統版本等)發送至病毒服務器,相關代碼如下圖所示:
發送本地系統數據
病毒運行時會訪問配置文件,配置文件內容包含有:排除城市、釋放動態庫時使用的隨機文件名、360安全衛士相關信任區信息等。相關配置,如下圖所示:
配置文件
病毒會創建瀏覽器控件窗體暗刷流量,最終意圖與前文中acm.exe基本相同。相關代碼,如下圖所示:
註冊瀏覽器窗體類
二、傳播渠道分析
通過火絨終端威脅情報系統追踪,我們發現萬能壓縮、萬能看圖、Clover等多款軟件會根據云控數據推廣眼睛守護神,並致使病毒大範圍傳播。火絨前期報告《”雙十一”成流氓軟件爆發高峰日均侵權推廣1.7億次》中,就曾經對萬能壓縮、萬能看圖、Clover等多款軟件的流氓廣告彈窗進行過分析說明,上述軟件在進行流氓推廣的同時,已經衝破了法律紅線淪落為病毒傳播渠道,致使病毒程序使用上述軟件大範圍傳播,已經嚴重危害到了軟件用戶的信息安全,希望上述軟件廠商抓緊徹查相關病毒威脅,堅守法律紅線。下文中以Clover為例進行代碼溯源分析。
當Clover軟件安裝完成後,點擊快捷方式或啟動資源管理器時,其主程序模塊Clover.exe會啟動執行。Clover程序執行會裝載clover_dll.dll,並執行導出函數CloverMain。如下圖所示,
執行CloverMain導出函數
在CloverMain函數中會調用ClvAssist.exe模塊,參數為RunAssist,如下圖所示:
調用ClvAssist模塊
ClvAssist.exe啟動後會從hxxp://down.shusw.com/clv/st/tsk.dat 下載配置文件tsk.dat 。如下圖所示:
下載配置文件tsk.dat
通過“GUANGSU”循環異或解密配置文件數據後,可以得到原始配置數據。得到XML格式的配置文件, 如下圖所示:
解密後的配置文件
解密相關代碼,如下圖所示:
解密配置文件
根據解密出的配置文件從http://down.shusw.com/clv/st/tsk.gif下載tsk.gif模塊。如下圖所示,
下載tsk.gif
tsk.gif不是gif圖片文件,實際為加密後的dll文件,對其進行解密(DES解密算法,密鑰為”萬能的主“)並解壓縮得到dll。相關代碼,如下圖所示:
解密並解壓縮得到dll文件
裝載dll並調用TaskRunPath等導出函數設置運行參數信息, 最後調用TaskStart進行廣告彈窗和推廣。如下圖所示,
調用導出函數
TaskStart函數從資源節取出XML配置文件,如下圖所示
從資源中獲取配置數據
相關配置數據,如下圖所示:
從資源節取出配置文件
根據配置取得地址http://down.shusw.com/clv/st/rpv1.dat下載加密後配置文件rpv1.dat,進行解密(“GUANGSU“循環異或),內容為之後要調用的任務信息。如下圖所示,
任務信息配置文件
在多個任務中, 其中有名為“Flush”的任務,會調用Clvhelper模塊,參數為RunHP hxxp://downsrf.eastday.com/clv/flush/Flush.gif。Clvhelper.exe開始執行後,會從hxxp://downsrf.eastday.com/clv/flush/Flush.gif下載文件(現階段該鏈接地址已無法返回有效數據),進行DES解密(密鑰為“萬能的主”)並解壓得到dll文件。接著程序裝載dll並執行,跳入導出函數run_lib或Run執行。如下圖所示,
執行導出函數run_lib或Run
run_lib函數從hxxp://www.chlbiz.com/file/url請求配置信息。如下圖所示,
請求配置文件
對配置信息進行Base64+AES解密(密鑰為“xcN2gedfty2iCjkL“),且該密鑰與前文中眼睛守護神病毒模塊中的解密密鑰和解密方式完全相同。如下圖所示,
解密配置
現階段已經獲取不到與上述邏輯相關的有效的配置數據。得到配置信息,如下圖所示:
配置信息
並根據解密得到的網址下載dll進行裝載,並調用導出函數run_lib進行程序推廣。相關代碼,如下圖所示:
調用run_lib導出函數
除此之外,我們在Clover的配置文件中找到了關於其他同源軟件的配置信息,經過蒐集分析,配置文件中的其他軟件中均包含惡意推廣模塊,且極其相似。包含的軟件如下:
軟件列表
相關配置信息,如下圖所示:
配置信息
這些軟件中的重要推廣模塊代碼具有極高的相似性,包括配置文件的解密算法、配置文件、動態庫的解密算法以及動態庫中的配置文件,導出函數等。從上述的軟件中任意挑選幾款軟件進行舉例說明:萬能壓縮、萬能看圖、Clover。配置文件的解密為簡單的循環異或,密鑰為“GUANGSU”。如下圖所示:
配置文件解密
解密出來的配置文件格式相似。如下圖所示,
配置文件格式相似
動態庫的解密均採用CBC模式DES算法,密鑰為”萬能的主”,初始IV為0。部分程序解密出的動態庫為相同的文件。如下圖所示:
解密動態庫
解密出的dll文件中含有後續任務信息的xml文件。格式相同,且多個配置文件裡的部分url鏈接相同。如下圖所示:
後續任務信息的配置文件地址信息
解密出的dll的導出函數相同。如下圖所示:
導出函數相同
綜上所述,上述系列軟件中均包含有相同的推廣邏輯代碼,且經過火絨終端威脅情報系統統計萬能壓縮、萬能看圖、Clover等軟件會推廣該後門程序(眼睛守護神),感染終端數量經推算在幾十萬台量級。相關數據,如下圖所示:
感染數據
三、附錄
樣本hash: