近期360安全大脑监控到一批伪装成破解补丁、网赚工具、刷钻程序等进行传播的木马程序。这些木马在暗地里刷访问量、篡改浏览器首页、弹虚假广告,据统计受其影响的用户超过10万。
用户一旦将这些木马当作正常程序进行安装,会发现安装后的程序不仅不提供卸载项,还会将自身添加为开机自启动。此外,木马进行“刷量”所使用的配置文件都存储在云端并进行了多层加密,能够进行灵活控制。其所刷的流量,涉及某狐、某酷等多家知名网站,广告联盟涉及北京、上海、天津等地的6家广告联盟。
和木马的对抗过程中,我们还发现在部分木马的下载页面中会专门为360提供“特供”的加密压缩包,且会“悉心指导”用户要将自身添加至360的白名单中。
行为分析后台暗刷流量木马安装之后,会访问云端配置文件获取待刷页面的列表,利用用户计算机进行刷量操作。
而云端所提供的配置列表是通过AES的CBC模式加密的,木马解密时所使用的KEY和IV均通过简单编码后硬编码于程序中,相关代码如下图所示:
分析人员对其配置进行解密之后,可以看到内容包括:刷相关的点击、鼠标操作、页面元素等多达100余项参数:
根据分析时所获取到的配置文件内容,我们解密出的云控刷量URL。内容包括某狐、某酷及对应广告代码等列表。部分片断如下图所示:
此外,木马在进行暗刷之前还会对刷量程序进行静音处理,以保持暗刷时完全静音隐蔽,保证不被用户发现。
从目前获取到的配置中所发现的刷量内容如下(隐去部分业务/联盟名称):
| 领域 | | |
| | |
|
|
| | |
| 上海*告德业广告有限公司 *告(上海)广告有限公司 上海*数网络科技股份有限公司 天津*集科技有限公司 北京*友互动信息技术股份公司 *投广告(上海)有限公司 *gle adsense | |
以*狐视频为例,被暗刷的剧集播放量最高已经超过了3000万,最少的也有400多万。
静默修改浏览器主页、起始页除了上述的数量操作,木马还会通过修改注册表及Chrome类浏览器的Preferences配置文件来改浏览器的首页及起始页。木马所篡改的浏览器列表如下:
木马篡改浏览器起始页代码如下:
频繁弹出无法关闭的广告窗分析人员还发现,木马在后台疯狂刷流量的同时,还会频繁弹出无法正常关闭的广告窗,部分广告窗如下图所示:
其他相关信息根据360安全大脑的数据统计显示,仅最近还在活跃的某单一木马样本——在近3个月中就被360拦截过百万次。而整个该家族木马所影响计算机设备数则超过十万台。
此外,该族系的木马所使用的刷量配置云控域名常年处于活跃状态,并在2018年底的时候更是达到过单日请求量超过10万次的高峰。
而该族木马的也影响了全国绝大多数的地区。其中,以广东、江苏、山东、河南、浙江五个地区的受影响程度最高。
通过查询其云控域名的注册及备案信息,我们关联到一家名为‘南京*易信息科技有限公司’的企业与这款软件可能存在一定关系。
在该公司的相关知识产权及对应备案信息中,可以找到多个和云控配置中刷量链接相关域名的注册信息。部分展示如下:
安全建议面对无孔不入的网络黑灰产,360安全大脑提醒广大用户,
1、 日常使用电脑时,应该安装并保持杀毒软件开启。发现电脑异常时,可使用360安全卫士进行体检扫描,查杀这类病毒木马。
2、 对于安全软件提示风险的程序不要轻易添加信任或退出杀软运行。
IOCMD5+SHA1:
17612063fefd919856c57a2ad4e4b056+99f24644beb4d384938462ee3a269d285d66aca3
191caf770b3a930208c3fcc0872c9191+2abb1e171361c68304d752f6dfb28ed9443e8c81
1abc1fe6f3a9351a008b08c7683267d1+cbf5895c6328f91535e02807d9121964c9ede1ff
2c377b6022ff65df8c4635b574eb80e9+c66a850f90f131a187778905c360ec2742327c5d
30a0863b215e2faec52680e476f42317+acd82000207909b9beb5152e6768a38eab82777b
315fd1403ac6a3e304710dd1848cea8b+0fd40d3b6075dc991373639737f22b0d6038cf00
3ac47e8b99741efafb73584a78890b2c+5e37cd869104ef0e5c7eaeac2783389bbaa3557f
4af3ecb949078365738340c37de948c9+15238f727b03e23351a72fb191440c0b2d04b07c
551afe30bdba24748b2f411430d0a246+91dfe995285172f546ed4d9cb90bd4c7777e1694
63666cada4b376aabb47e79240d32356+8f76eb19de632f0bf7a621a2183fda15bb0649b4
64e8034088672c1296255cd6be55bf63+94e71dd3226cf3cea767d924dcf5ff0c271e2f23
6539ce5ddd3d069e01d27b03618e8ff4+7d938602527b8ec873abcd6423e22ea4e4a4ba47
69b2e5ff2464a308f25a372a6b06ed4e+b287ec78ce98fc97890eced1973edb034a60a04e
72c904c7d2c11965515e02c8f9fe0a35+4b5942835bf784d39cb0dee4a601e38a39fb86a9
7ff3851913d24ed51b386482079baf65+d04d89193f92b257a345562cc42d94a1333d2c59
9567fb78b394e3ec5030b7da471fb13d+1c4bbaf79a13a6c20d741e10b949b376a7421cec
a38bf8ca3d89c69bd8e616bf125a6aaa+ebb42bff699fcbd19665b6d21f465dc0647fd350
b1ea10f822138289ecf2639c35c8fd26+84a502984ec27e5b6a43f14fa310316b5079c0e9
b341b9e60ff528fbf6409f235b7adac8+16d9d0a4e6a55c189699623115944ef76b3267ef
bac857e6a8c8143793be8195b26df4e1+309d798b00fc248f6f748ff1cefe4ea52e35b8f5
bacd8c9223503707e0fb2be7ed280239+5dc3b8c177e17b07990dff793bdd26cfe3b609eb
beb15e11c862cfdafc78e91b7b88d7e3+c5973e68d53c1ec8ded1baab7813e25a9ac0e357
ce0b91546b26258bd3d90a3425b8ef9a+59f72bbbc04bbb48f0be817f7e2a27f617ec97df
d4454abec6e8c892984393cde0c1ea6a+b039dd3a88ef25c9b267cc18edbc21671763ab51
dae69355f78958b2695aface6d495fdf+04db9c2494d3d7305e879ddd215fb0a6ecdcc5a2
dbe17e35ef798ec690827830d7a84fa3+57bedfa23af5a9486b9f9da0eb8ed819faf0f6ec
de316820918610d60198831cc926b8f4+40f68adf9d073be7af187b311322d9f080d6d458
fc319762d4e08dead40d994083dcfc8e+76b6a8e14647b0a93bbe561326d33fb29583165b
URLS:
hxxp://e.kuyisoft[.]com:38001/getaes
hxxp://e.kuyisoft[.]com:38001/getmodelaes?modelId=10&adId=113
发表于 2019-3-28 18:01:21
楼主
发表于 2019-3-28 21:09:26
