居然破坏ARK攻击杀毒软件,HTTPS劫持病毒木马恐怖升级
今朝,愈来愈多的网站开端注册证书,供给对HTTPS的支撑,掩护本身站点不被挟制。而作为对峙面的流量挟制进击,也开端将锋芒瞄准HTTPS,此中最罕见的一种办法就是捏造证书,做中间人挟制。
不久前,360宣布了《“偷梁换柱”掉包告白:HTTPS劫匪木马天天掠夺200万次收集拜访》的相干预警。克日,360互联网平安中间又发明一款名为“跑跑火神多功效帮助”的外挂软件中附带的挟制木马,该木马能够看做是以前挟制木马的增强版,其运转后加载RootKit木马驱动鼎力大举挟制导航及电商网站,应用中间人进击伎俩挟制HTTPS网站,同时还阻拦罕见ARK对象(Anti-Rootkit,检测查杀内核级木马的业余对象)运转,损坏杀软失常功效。
图1
依据咱们的数据分析,该木马不仅存在于多种外挂软件中,同时也包含于收集上传播的浩繁所谓“体系盘”中。一旦有人应用如许的体系盘装机,就等因而让电脑装机就沾染了流量挟制木马。
模块分工示意图:
图2
作歹行动:
1、停止软件推行:
法式中硬编码了从指定地点下载装置小黑记事本等多款软件:
图3
图4
2、损坏杀毒软件:
经由进程检测文件pdb文件名信息来检测断定Ark对象,检测到后间接停止进程并删除响应文件,如图所示检测了:PCHunter(原XueTr)、WinAST、PowerTool、Kernel Detective等,和一切固执木马同样,HTTPS劫匪也把360急救箱列为进击目的。
图5
删除杀软LoadImage回调:
图6
图7
阻拦网盾模块加载,其阻拦的列表以下:
图8
3、停止流量挟制
木马会云控挟制导航及电商网站,应用中间人进击伎俩,支撑挟制https网站
图9
中间人进击示意图
驱动挪用BlackBone代码将yyqg.dll注入到winlogon.exe进程中履行,
图10
BlackBone相干代码:
图11
yyqg.dll还会导入其捏造的一些罕见网站的ssl证书,导入证书的域名列表以下:
图12
调换的baidu的SSL证书:
图13
图14
经由进程云控节制必要挟制网站及挟制到目的网站列表:云控地点采用的是应用DNS:114.114.114.114(备用为:googleDNS:8.8.8.8和360DNS:101.226.4.6)剖析dns.5447.me的TXT记载获得的衔接:
获得云控衔接地点部门代码:
图15
图16
图17
应用Nslookup查问dns.5447.me的TXT记载也和该木马剖析拿到的成果同等:
图18
终极获得挟制列表地点:http://h.02**.me:97/i/hijack.txt?aa=1503482176
挟制网址列表及跳转目的衔接以下图,重要挟制导航及电商网站:
图19
驱动读取收集数据包:
图20
发送节制敕令:
图21
驱动层过滤拦阻到收集数据包前往给应用层yyqg.dll, 应用层yyqg.dll读取到数据剖析后依据云控列表婚配数据而后Response一段:
主动革新并指向新页面的代码
(http-equiv望文生义,相当于http的文件头感化)
图22
被挟制后给前往的成果:主动革新并指向新页面:http://h.02**.me:97/i
图23
http://h.02**.me:97/i再断定浏览器跳转到终极带有其推行ID的导航页面:如果是搜狗浏览器跳转到:http://www.hao123.com?123
不是搜狗浏览器则跳转到:http://www.hao774.com/?381**,至此就完成为了一个完备挟制进程。
图24
图25
挟制后果动图(双击关上):
图26
同时为了避免挟制呈现无穷轮回挟制,其还做了一个白名单列表主如果其挟制到的终极跳转页面衔接,碰到这些衔接时则不做挟制跳转。
http://h.02**.me:97/i/white.txt?aa=1503482177
图27
图28
传播:
除游戏外挂外,在许多Ghost体系盘里也发明了该类木马的行迹,且木马应用体系盘传播的数目远超外挂传播。应用带“毒”体系盘装机,还没来得及装置杀毒软件,流量挟制木马便主动运转;别的,外挂本身的困惑性,也极易引诱中招者疏忽杀软提示而冒险运转木马。
正因木马宿主的特殊性,使得该类流量挟制木马的沾染率极高。据360近期的查杀数据表现,因为体系自带木马,或疏忽平安软件提示运转带毒外挂的受益用户,曾经高达数十万之多。
图29
图30
再次提示宽大网民:
1.谨严应用网上传播的Ghost镜像,此中大多都带有各类歹意法式,倡议用户抉择正轨装置盘装置操作体系,免得本身的电脑被不法分子节制。
2.不法外挂软件“十挂九毒”,一定要加以鉴戒,分外是在请求必需加入平安软件才能应历时,切不可漫不经心;
3.装置操作体系后,第一时间装置杀毒软件,对能够存在的木马停止查杀。上彀时碰到杀毒软件预警,切不可随便放行可疑法式。