查看: 4526|回复: 12
收起左侧

[技术原创] 这年头病毒木马都有“证书”了,目前已劫持上千个网址

[复制链接]
360主动防御
发表于 2018-4-24 21:21:38 | 显示全部楼层 |阅读模式
本帖最后由 360主动防御 于 2018-4-24 21:26 编辑

NpfIkms 一款利用AdGuard白驱动劫持用户浏览器的流量大盗

一:木马概述
近日,360安全中心拦截到一个利用AdGuard Wfp白驱动下发浏览劫持规则篡改用户浏览器的木马,我们将其命名为“NpfIkms”木马。

分析后发现,“NpfIkms”主要是一种系统激活类恶意软件释放,以劫持用户浏览器流量牟利为目的。但“NpfIkms”跟其他"流量劫持"类木马不同的是,该木马在劫持流量同时还会阻断安全软件联网,导致安全软件无法正常的查杀和升级。

分析显示,目前"360安全中心"已先拦截查杀“NpfIkms”木马。



二:木马分析
根据360安全专家的分析结果,该木马会禁止安全软件联网以防止自身被查杀,并且还会篡改系统根证书,以此劫持各种返利网站流量来获取回报。

“NpfIkms”木马会伪装在系统激活器中,运行后该木马释放ikms.dll文件并注册服务启动,这个DLL是宿主程序,运行后会创建两个线程,进行内存加载运行核心木马功能IMain.dll(调用导出函数:dowork)和盗版激活程序KmsCore.dll。
IMain.dll内存加载执行后会进行一系列木马功能的操作,还会进行内存加载白利用AdguardNetLib.dll并加载Adguard驱动,劫持功能详情如下:
木马通过云端更新劫持配置,目前已劫持1010个网址,其中包括各种导航站(hao123、2345、sogou等)、购物网站(taobao、JD、dangdang、vip、amazon、vmall等)、下载站(QQ浏览器等)等,劫持后木马将推广ID修改成自己的推广ID,来获取返利回报,只要有流量推广,都会成为木马的劫持目标。
木马通过URL字符串特征对安全软件的云查杀功能进行拦截通信,阻止自身被安全软件查杀。
木马还对列表中的指定进程禁止联网,来阻止安全软件更新和查杀。
木马为了可以劫持SSL加密的https网站,向系统导入虚假的根证书,这样就可以实现中间人劫持替换SSL加密的网站内容和请求。
添加本地虚假根证书后,使用浏览器访问被劫持的hao123页面,可以看到hao123的根证书已经被篡改,并且不会出现证书异常提醒,危害巨大。
木马之所以有这么完善的网络过滤拦截功能,完全“归功”于广告拦截软件AdGuard,AdGuard使用驱动对网络流量进行过滤清洗,来阻止流量中的广告,由于AdGuard自身驱动未校验调用者合法性,而产生的漏洞,导致任何程序都可以对其发送拦截替换等指令,木马恰恰抓住这个机会,进行滥用。
三:360安全提醒
各类系统激活类工具一直以来都是导航站、电商站劫持木马的主要传播途径,建议网友在使用激活类工具时候,尤其要注意一下几点:
1、建议网友尽量使用原版本操作系统,安装操作系统需要使用正规渠道。
2、如果一定要使用激活工具,使用下载前应先使用各类安全软件扫描,确保软件安全。
3、最后安装安全软件对此类木马进行防护

感谢分享
发表于 2018-4-24 23:03:38 | 显示全部楼层
从来不用激活工具,要么预装的系统,要么网络电话激活,买个正版杀软放心点,不上来历不明的网站,不用来历不明的软件。多数时间都用Linux,上网听音乐,敲敲文档什么的。
桑德尔
头像被屏蔽
发表于 2018-4-25 08:32:23 | 显示全部楼层
针对官人提的建议,我觉得应该尤其强调,用户要相信安全软件的判断而非激活工具的社工学的“辩白”,尤其不要抱着先关闭防护激活再打开防护查杀的心态
idayong
发表于 2018-4-25 08:42:39 来自手机 | 显示全部楼层
激活提示退安全软件的工具都有问题
360主动防御
 楼主| 发表于 2018-4-25 09:55:22 | 显示全部楼层
桑德尔 发表于 2018-4-25 08:32
针对官人提的建议,我觉得应该尤其强调,用户要相信安全软件的判断而非激活工具的社工学的“辩白”,尤其不 ...

说得对有道理
wowocock
发表于 2018-4-25 10:14:06 | 显示全部楼层
白驱动利用更不好处理。能利用的方法和驱动太多,随意过杀软,干事。
cloud01
头像被屏蔽
发表于 2018-4-25 10:17:01 | 显示全部楼层
hips该如何防御?
wowocock
发表于 2018-4-25 17:17:25 | 显示全部楼层
cloud01 发表于 2018-4-25 10:17
hips该如何防御?

防不了,360查杀产品的目的就是随便用,随便中毒,用360产品能解决问题即可。当然除那种非对称加密勒索的,那是只能靠防和事先备份了。
cloud01
头像被屏蔽
发表于 2018-4-25 17:40:31 | 显示全部楼层
wowocock 发表于 2018-4-25 17:17
防不了,360查杀产品的目的就是随便用,随便中毒,用360产品能解决问题即可。当然除那种非对称加密勒索的 ...

这种所谓的中间人劫持 HIPS也不能防?
pal家族
发表于 2018-4-25 17:47:51 | 显示全部楼层
cloud01 发表于 2018-4-25 17:40
这种所谓的中间人劫持 HIPS也不能防?

你这就好比当时问hips能不能阻止cpu挖矿一样
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:00 , Processed in 0.148625 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表