用户
搜索
  • TA的每日心情
    奋斗
    前天 15:40
  • 签到天数: 170 天

    连续签到: 1 天

    [LV.7]常住居民III

    版主

    pypy

    Rank: 7Rank: 7Rank: 7

    28

    主题

    670

    帖子

    1543

    魔法币
    收听
    3
    粉丝
    22
    注册时间
    2015-11-12

    i春秋签约作者

    发表于 2017-9-4 12:21:29 18411
    本帖最后由 xiaoye 于 2017-9-4 12:24 编辑

    本文由360投稿

    目前,越来越多的网站开始注册证书,提供对HTTPS的支持,保护自己站点不被劫持。而作为对立面的流量劫持攻击,也开始将矛头对准HTTPS,其中最常见的一种方法便是伪造证书,做中间人劫持。
    不久前,360发布移花接木偷换广告:HTTPS劫匪木马每天打劫200万次网络访问》的相关预警。近日,360互联网安全中心又发现一款名为跑跑火神多功能辅助的外挂软件中附带的劫持木马,该木马可以看作是之前劫持木马的加强版,其运行后加载RootKit木马驱动大肆劫持导航及电商网站,利用中间人攻击手法劫持HTTPS网站,同时还阻止常见ARK工具Anti-Rootkit,检测查杀内核级木马的专业工具)运行,破坏杀软正常功能

    image001.png

    根据我们的数据分析,该木马不仅存在于多种外挂软件中,同时也包含于网络上流传的众多所谓系统盘中。一旦有人使用这样的系统盘装机,就等于是让电脑装机就感染了流量劫持木马。
    模块分工示意图:

    image004.jpg

    作恶行为:
    1、 进行软件推广
    程序中硬编码了从指定地址下载安装小黑记事本等多款软件:

    image006.jpg

    image008.jpg

    2破坏杀毒软件
    通过检测文件pdb文件名信息来检测判断Ark工具,检测到后直接结束进程并删除相应文件如图所示检测了:PCHunter(XueTr)WinASTPowerToolKernel Detective等,和所有顽固木马一样,HTTPS劫匪也把360急救箱列为攻击目标

    image010.jpg

    删除杀软LoadImage回调:

    image012.jpg

    image014.jpg

    阻止网盾模块加载,其阻止的列表如下:

    image016.jpg

    3进行流量劫持
    木马会云控劫持导航及电商网站利用中间人攻击手法,支持劫持https网站

    image018.jpg

    驱动调用BlackBone代码将yyqg.dll注入到winlogon.exe进程中执行,

    image020.jpg

    BlackBone相关代码:

    image022.jpg

    yyqg.dll还会导入其伪造的一些常见网站的ssl证书导入证书的域名列表如下:

    image024.jpg

    替换的百度的SSL证书:

    image026.jpg

    image028.jpg

    通过云控控制需要劫持网站及劫持到目标网站列表:云控地址采用的是使用DNS:114.114.114.114(备用为:谷歌DNS8.8.8.8以及360DNS101.226.4.6)解析dns.5447.meTXT记录得到的连接:

    获取云控连接地址部分代码:

    image030.jpg

    image032.jpg

    image034.jpg

    使用Nslookup查询dns.5447.meTXT记录也和该木马解析拿到的结果一致:

    image036.jpg

    最终得到劫持列表地址:[url=]http://h.02**.me:97/i/hijack.txt?aa=1503482176[/url]

    劫持网址列表及跳转目标连接如下图主要劫持导航及电商网站:

    image038.jpg

    驱动读取网络数据包:

    image040.gif

    发送控制命令:

    image042.gif

    驱动层过滤拦截到网络数据包返回给应用层yyqg.dll, 应用层yyqg.dll读取到数据解析后根据云控列表匹配数据然后Response一段:
    <meta http-equiv=\"refresh\" content=\"0; url = %s\"/> 自动刷新并指向新页面的代码
    http-equiv顾名思义,相当于http的文件头作用)

    image044.jpg

    被劫持后给返回的结果:自动刷新并指向新页面:http://h.02**.me:97/i

    image046.jpg

    http://h.02**.me:97/i再判断浏览器跳转到最终带有其推广ID的导航页面:如果是搜狗浏览器跳转到:http://www.hao123.com?123
    不是搜狗浏览器则跳转到:http://www.hao774.com/?381**,至此就完成了一个完整劫持过程。

    image048.jpg

    image050.jpg

    劫持效果动图(双击打开)

    image052.gif

    同时为了防止劫持出现无限循环劫持,其还做了一个白名单列表主要是其劫持到的最终跳转页面连接,遇到这些连接时则不做劫持跳转。
    http://h.02**.me:97/i/white.txt?aa=1503482177

    image054.jpg

    image056.jpg

    传播:
    除了游戏外挂外,在很多Ghost系统盘里也发现了该类木马的行踪,且木马利用系统盘传播的数量远超外挂传播。使用带“毒”系统盘装机,还没来得及安装杀毒软件,流量劫持木马便自动运行;另外,外挂本身的迷惑性,也极易诱导中招者忽视杀软提示而冒险运行木马。

    正因木马宿主的特殊性,使得该类流量劫持木马的感染率极高。据360近期的查杀数据显示,由于系统自带木马,或忽略安全软件提示运行带毒外挂的受害用户,已经高达数十万之多。

    image058.jpg

    image060.jpg

    image062.jpg
    再次提醒广大网民

    1.谨慎使用网上流传的Ghost镜像,其中大多都带有各种恶意程序,建议用户选择正规安装盘安装操作系统,以免自己的电脑不法分子控制。
    2.非法外挂软件十挂九毒,一定要加以警惕,特别是在要求必须退出安全软件才能使用时,切不可掉以轻心;
    3.安装操作系统后,第一时间安装杀毒软件,对可能存在的木马进行查杀上网时遇到杀毒软件预警,切不可随意放行可疑程序。




    http://blog.163.com/sy_butian/欢迎交流
    虽然看不明白,但还是顶你。
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册