傳奇私服攻破https,劫持網頁

2020.8.21 來源:安全豹作者:安全豹

一、概述

        近期收到用戶反饋,電腦在訪問一些論壇網頁和游戲網頁時,瀏覽器被劫持跳轉至私服網站sfbao.XXXX.com(XXXX為變化的)。該現象涉及市場上幾十種瀏覽器,被劫持網站列表更是高達1000+,包含論壇網站、游戲網站、視頻網站等。且被劫持網站列表還會實時更新。

        毒霸工程師跟進后發現,該現象來源于一批私服登陸器,這類私服登錄器會釋放出惡意驅動文件tdtkcuaqc.sys(名稱隨機化),該惡意驅動會在C:\Windows\Temp目錄下,釋放winaudio.exe和winaudio.dll(winaudio64.dll)文件,最后利用winaudio.exe和winaudio.dll去操作瀏覽器劫持相關的網頁訪問。

        劫持的原理是針對瀏覽器進程進行winaudio.dll遠程線程注入,winaudio.dll會對瀏覽器訪問的網址進行過濾,若當前訪問的網址存在于被劫持的網站列表中,就會把連接網頁服務端的ip修改為127.0.0.1,去和winaudio.exe連接,winaudio.exe則作為一個中轉服務器去訪問網頁sfbao.XXXX.com(XXXX為變化的),然后把通訊數據傳輸給瀏覽器,從而實現劫持。下圖為大致執行流程。

rtjuh

樣本執行流程圖

二、樣本分析
        以下暫且把winaudio.exe稱作病毒控制模塊,把winaudio.dll稱作病毒注入模塊。
(一)、病毒控制模塊winaudio.exe分析

        研究發現winaudio.exe模塊會通過三層云控,獲得真正的文本網頁證書server.crt,server.der,server.key和加密的劫持網頁列表信息的5B7C84755D8041139A7AEBA6F4E5912F.dat文件。

775c0e84-ba90-4cab-937b-d3d1b788c51a        

        以上數據加密方式都采用DES加密,密鑰為字符串”j_k*avb”。解密發現下載鏈接都采用http://i2.tiimg.com和http://imgsrc.baidu.com的公共圖床存儲。分析發現圖片不定時更新,但信息大致一樣。下面為解密后的數據。

66fbc7c7-9fe1-4951-8633-41b7f71eb381

        下面為其中的jpg圖片。

8cd4b0bb-ad38-4566-905f-bb9f7e802349

        通過對圖片進行二進制查看,可以看出圖片數據分為兩部分。上部分為圖片信息,對應著上面的小狗圖片。下部分為攜帶的文本信息,對應著server.crt,server.der,server.key和5B7C84755D8041139A7AEBA6F4E5912F.dat文件。

0ca1805e-9c37-42d1-b579-ecbfb1951db8

        病毒控制模塊通過訪問這些圖片鏈接,去讀取圖片攜帶的文本。根據傳入的字符串ja001、ja002、ja003、server.crt、server.der和server.key去下載對應的文本保存到程序目錄下,下圖為相應對應關系圖。

9072b0ff-e1ea-415f-83a7-4dfc92e65ff9

        病毒控制模塊通過上面的圖片鏈接,下載網頁證書server.crt,server.der,server.key和加密的劫持網頁列表信息的5B7C84755D8041139A7AEBA6F4E5912F.dat文件,保存到該程序的目錄下。

        通過分析發現5B7C84755D8041139A7AEBA6F4E5912F.dat文件分為兩部分,前面12字節用于數據存儲,后面的字節為需要解密數據。加密算法為DES,密鑰為字符串“j_k*a-vb”。

12d04b56-c4b6-4e11-9cd9-d8c685aae862

        5B7C84755D8041139A7AEBA6F4E5912F.dat經過解密,轉換被劫持的網站列表保存到同目錄下的vmware24A.dat文件中。下圖為轉換流程。

4700d764-0d90-4c71-baff-feed207e2001

        下面為從網頁獲取信息的主要函數,通過傳入參數2字符串的不同返回證書相關文件和被劫持的網站列表文件信息。由于從網絡獲取,故被劫持網站列表會實時變化。傳入的字符串server.crt,server.der,server.key對應各自文件,ja001,ja002,ja003對應著5B7C84755D8041139A7AEBA6F4E5912F.dat文件。

66244d62-70bc-49e9-9b9a-edc0df5b335c

        病毒控制模塊在獲取文本信息后,會為注入瀏覽器做相應的準備工作,解密瀏覽器名和需要規避的進程名字符串。會遍歷當前電腦進程,檢查是否存在ZhuDongFangYu、360Safe、360Tray進程,如果這些進程正在運行就不會進行DLL注入,不進行網頁劫持。

ff7c7f7f-046e-4e5e-a249-bc952937d574

        解密字符串發現該劫持危害性較大,涉及了市場上大多數瀏覽器,下圖為會被注入的瀏覽器列表:

5b3b9b7f-d8e3-4d36-9c29-a3de60fe061c

        病毒控制模塊獲得需要注入的瀏覽器列表后,會通過遍歷進程獲取進程信息,當找到需要注入的目標瀏覽器進程后,就會進行dll注入,注入模塊路徑為C:\Windows\Temp\winaudio.dll,代碼如下圖所示

9a476fba-10b5-4bf9-b8b4-598ae8c45c5b

        最后病毒控制模塊會創建兩個線程去監聽和與被劫持瀏覽器通訊。一個線程用于接收注入dll發送過來的信息,分析發現注入dll那邊會進行URL判斷,當訪問網頁在被劫持網站列表中時,會與winaudio.exe構建本地TCP通訊,將訪問的網址URL發送給winaudio.exe。該線程會把數據傳輸到下面線程,做好劫持連接準備。

        當第一個線程接收到劫持瀏覽器進程發送的URL后,第二個線程會把winaudio.exe作為一個中轉器,連接瀏覽器和網站服務端,中轉傳遞瀏覽器和網站服務端的通訊。病毒利用注入dll去hook函數GetAddrInfoW相關函數,對訪問的URL進行篩查,當訪問網頁的URL在被劫持列表中時,會把訪問網頁服務端ip獲取保存,然后通過hook的函數connect與前面獲得的ip進行篩查。當為需要劫持的ip時,被劫持網頁訪問連接會被偷換為與winaudio.exe的本地TCP通訊,此處采用了MITM(中間人攻擊),winaudio.exe(作為中間人)一方面利用偽造的server.crt,server.der,server.key證書信息與瀏覽器客戶端進行通訊數據傳輸,另一方面與劫持到的目標網站sfbao.XXXX.com進行通訊數據傳輸,winaudio.exe作為中間人將通訊進行了劫持重定向。下面為訪問同一網站的對比圖。

        正常訪問網頁及證書信息

5e45b8b7-33e2-49d0-b61a-17c213edfa2f

        劫持后的網頁和證書信息,該證書來源于前面下載的server.crt等文件

3235f27b-f8e0-408a-b576-a3108f2f0a20

96597714-42d8-4623-845e-1b0e5c0be8cf

https劫持原理

        此外該模塊還會收集一些電腦信息,如用戶名、網卡、電腦配置等用戶基礎數據,發送到sfbao.XXXX.com(XXXX為變化的)網頁。

(二)、病毒注入模塊分析

        病毒控制模塊(winaudio.exe)通過遍歷進程將病毒注入模塊(winaudio.dll)注入到指定瀏覽器進程中,病毒注入模塊會在瀏覽器進程中創建線程去執行惡意行為。

        病毒注入模塊按照行為劃分可以分為兩大部分。第一部分清理瀏覽器Internet URL緩存,解密獲得被劫持網頁列表,和winaudio.exe構建本地TCP通訊,發送被劫持網頁的URL地址到winaudio.exe。代碼如下圖所示。

eb0aaecd-d1b7-4d02-befd-8ec15a2017a3

        第二部分為hook函數GetAddrInfoW、getaddrinfo、GetAddrInfoExW、GetAddrInfoExA、gethostbyname和connect。hook函數采用inline hook方式,前面幾個函數主要會針對訪問的URL網址進行篩選判別,當在被劫持列表中時,會把該網址的服務端所有ip進行記錄保存,作為后面connect連接時劫持判斷的依據,前面幾個hook函數的功能相似,代碼如下所示。

291ff1c7-0900-48d5-ba31-b3f1b9f7e2c2

        最后的connect函數主要進行網頁劫持ip替換,會進行判斷是否為127.0.0.1本地連接或ip在前面hook函數中是否被記錄。為127.0.0.1本地連接時正常連接。當ip在前面被記錄時,就會進行ip替換為127.0.0.1本地連接到winaudio.exe,通過winaudio.exe去連接sfbao.XXXX.com(XXXX為變化的)網站服務端。當ip在前面沒有被記錄時,正常連接訪問網站服務端,代碼如下所示。

41e152e4-4bf9-450a-8999-ed0f83519be5

        通過分析hook函數的功能發現,當瀏覽器訪問的網頁網址在被劫持網頁列表中時,瀏覽器并不會真正連接訪問的網頁網址,而是被劫持為與winaudio.exe構建的本地TCP通訊連接,winaudio.exe作為一個中轉服務器,去訪問sfbao.XXXX.com(XXXX為變化的)網頁,把訪問接收的數據再通過本地TCP通訊,加工傳輸給瀏覽器,從而實現瀏覽器劫持。

        分析發現被劫持網站網頁,涉及面廣,包括論壇網站、視頻網站、游戲網站、色情網站等,且被劫持網頁數量較大,目前截獲涉及的網站數量已達1000+,被劫持網頁列表還是實時更新的,危害性較大,嚴重損壞用戶利益,下面為部分被劫持網頁。

330e1687-c7e4-4918-9814-c2d1b8bdc8ed


三、總結

        病毒文件來源于私服登陸器,用于劫持網頁到特定網站。被劫持網站列表實時更新,劫持比較隱蔽,持續性強,涉及了市面幾十種瀏覽器,涉及的被劫持網頁列表更是高達1000+,危害性較大,故我們需要謹慎使用非正版軟件,建議使用安全軟件實時監控。針對該病毒的解決方案:

        使用金山毒霸查殺:

4cda4528-3834-4173-9337-2d4c3a0815b2

手動查殺:

        步驟一:刪除該驅動文件(驅動名稱隨機化的,驅動簽名為Xinyi Electronic Technology (Shanghai) Co., Ltd)

        步驟二:刪除C:\Windows\Temp\winaudio.exe和winaudio.dll程序,并關閉重啟瀏覽器。


ioc:

劫持到的目標網頁URL: 
http://sfbao.r4t3.com/
http://sfbao.r4t3.com/
http://sfbao.zh6x.com/
http://sfbao.p7zc.com/

文中訪問的URL:
http://41ku.cn:10100/xccddhttps
http://i2.tiimg.com/710255/36a95bfb97802133.jpg
http://i2.tiimg.com/710255/0b69e38e4df6bc05.jpg
http://i2.tiimg.com/710255/d52d401803c42d11.jpg
http://i1.fuimg.com/710255/7acc45163f44abb8.jpg
http://imgsrc.baidu.com/tieba/pic/item/8435e5dde71190ef447aee8bc11b9d16fcfa60e4.jpg
http://imgsrc.baidu.com/tieba/pic/item/314e251f95cad1c8c61b8073703e6709c83d51c5.jpg
http://imgsrc.baidu.com/tieba/pic/item/0e2442a7d933c89543ffe42fde1373f0830200e4.jpg

MD5:
A2F535D8A801F7CDF94B66791B71EDB2
86B72209C4B71047E3690A0F64453675
A9AF04C2D0656927440DAB1F9776C747
C5E63654BE025ADC89C45DA57FACEC93
53DD62C31A298E69EDDC6341CE7AD782
021C1A04D47E8C3E353E1063A4F31E86
DE33919958225EAF185AE0F74FB70B7A
4D9A3023956409036C53843198B77D05

17069D878C3D6DCAB4F9FB1526E73279


上一篇:

? 聚宝盆pk10计划软件下载