一、概述

1.盜版軟件用戶和“APT攻擊”

我國電腦用戶當(dāng)中，使用盜版軟件是非常普遍的現(xiàn)象，從盜版的Windows系統(tǒng)到各種收費(fèi)軟件的“破解版”等等。

互聯(lián)網(wǎng)上也充斥著各種幫助用戶使用盜版的“激活工具”、“破解工具”，投其所好地幫助用戶使用盜版軟件。但是“天下沒有白吃的午餐”，除了一部分破解愛好者提供的無害的免費(fèi)激活工具之外，病毒制造者也瞄準(zhǔn)了盜版人群，他們利用提供激活工具的機(jī)會，將惡性病毒植入用戶電腦。

前段時(shí)間爆發(fā)的“小馬激活病毒”為例，其以系統(tǒng)激活工具的身份為掩護(hù)，利用其“入場”時(shí)間早的天然優(yōu)勢，在用戶電腦上屏蔽安全軟件、肆意劫持流量，危害極大。同理，許多病毒制造者病毒用PE工具箱、系統(tǒng)激活工具等形式進(jìn)行包裝，不但加快了病毒的傳播速度，也加強(qiáng)了其隱蔽性，從而躲避安全軟件的查殺。

提到APT，很多人會首先想到那些針對大型企業(yè)甚至事業(yè)部門的特定攻擊或威脅，以及0day、掛馬、間諜等。實(shí)際上，APT（AdvancedPersistent Threat，即高級持續(xù)性威脅），所指非常寬泛，即“通過較為高級的手段這對特定群體產(chǎn)生的持續(xù)性威脅”，因此針對盜版用戶的病毒威脅，也在APT攻擊之列。

本報(bào)告為大家揭示的病毒，就屬于這類惡意威脅。該病毒在系統(tǒng)安裝階段 “先人一步”釋放出惡意程序，并通過時(shí)間優(yōu)勢提前安置安全軟件白名單庫將病毒自身“拉白”，再通過眾多功能單一、目標(biāo)明確的程序相互配合，針對 “盜版操作系統(tǒng)用戶”這一特定群體形成了持續(xù)性的威脅。

這種針對“盜版用戶”的APT攻擊迷惑性極強(qiáng)，用戶很難發(fā)現(xiàn)惡意程序。更要命的是，即使安全軟件報(bào)毒，用戶通常也會認(rèn)為是誤報(bào)了“系統(tǒng)程序”從而選擇放過。

2.“Bloom”病毒何以長期“幸存”？

近期，火絨在一個(gè)瀏覽器首頁遭劫持的用戶現(xiàn)場中提取到了一組具有“鎖首”功能的惡意程序，該程序會通過修改用戶瀏覽器快捷方式的手段劫持“灰色流量”。在獲取樣本后，火絨便當(dāng)即對其進(jìn)行了查殺，因其注冊的服務(wù)名將其命名為“Bloom”病毒。

隨后，我們在火絨樣本庫中進(jìn)行關(guān)聯(lián)查詢，發(fā)現(xiàn)了該病毒在互聯(lián)網(wǎng)中流行的兩個(gè)主要版本，兩個(gè)版本時(shí)間相差一年，而“第一代”病毒更是在2014年就已經(jīng)出現(xiàn)。然而，截止目前為止，國內(nèi)的大部分主流安全軟件仍未能有效對其進(jìn)行查殺。隨著我們對這組樣本的分析我們發(fā)現(xiàn)，這組樣本中每個(gè)程序功能極為單一、獨(dú)立，如果僅僅通過對單個(gè)樣本進(jìn)行分析，并不能完整的獲得該病毒的整個(gè)邏輯，從而無法認(rèn)定其為惡意樣本。

正是因?yàn)樯鲜鲈颍沟眠@個(gè)病毒在安全軟件的眼皮底下堂而皇之地生存了至少兩年之久。

二、樣本分析

“Bloom”病毒是一組通過修改瀏覽器快捷方式的手段劫持用戶流量的惡意程序。通過火絨的“威脅情報(bào)分析系統(tǒng)”，我們發(fā)現(xiàn)該病毒通常會藏匿于以下幾個(gè)路徑名中：

C:\Program Files\BloomServices

C:\ProgramFiles\Supervise Services

C:\ProgramFiles\WinRAR\RARDATA

C:\Windows\Microsoft.NET\Framework\v4.0.3032018

C:\Program Files\WindowsDefender\DATA\Supervisory

觀察上述路徑名，我們發(fā)現(xiàn)該病毒通常會將自己偽裝到一些常見的系統(tǒng)目錄下，以此來蒙蔽用戶，致使安全軟件即使發(fā)現(xiàn)了該病毒，用戶也會誤以為是系統(tǒng)程序選擇放過。

經(jīng)過我們一段時(shí)間的追蹤，我們發(fā)現(xiàn)在當(dāng)前互聯(lián)網(wǎng)環(huán)境中活躍“Bloom”病毒的兩個(gè)版本，我們暫且稱他們?yōu)?ldquo;Bloom”病毒的“第一代”和“第二代”。如下圖所示：

圖2-1. “Bloom”病毒“第一代”（左）與“第二代”（右）概覽

兩代病毒都是通過名為“360.bat”的批處理腳本進(jìn)行病毒相關(guān)的初始化操作。如下圖所示：

圖2-2. “360.bat”內(nèi)容概覽

“Supervisory.exe”用來注冊服務(wù)，服務(wù)名為“Bloom Services”，該服務(wù)每隔一分鐘就會啟動(dòng)“Moniter.exe”，由該程序調(diào)用“Prison.exe”將瀏覽器快捷方式中加入網(wǎng)址參數(shù)，達(dá)到其劫持用戶流量的目的。其在“Prison.exe”中使用的網(wǎng)址如下：

l  http://bd.33**38.cc–> https://web.sogou.com/?12315

l  http://hao.33**38.cc-> http://www.2345.com/tg21145.htm

l  http://www.33**38.cc-> https://web.sogou.com/?12242-0001

l  http://bd.4**z.com/?fw ->   https://web.sogou.com/?12242-0001

l  http://bd.i**8.com/?fw –> http://www.2345.com/?33883

l  http://hao.4**z.com/?fw -> https://web.sogou.com/?12315

l  http://hao.i**8.com/?fw -> http://www.2345.com/tg21145.htm

l  http://www.4**z.com/?fw -> http://www.2345.com/tg16937.htm

l  http://www.i**8.com/?fw -> https://web.sogou.com/?12242-0001

由于“Prison.exe”中指向的網(wǎng)址是固定的，病毒作者為了增加“鎖首”的“靈活性”，還為“第一代”病毒設(shè)置了更新程序“360TidConsole.exe”。每隔一分鐘就會檢測“Prison.exe” ，如果本地的病毒版本過舊，就會通過訪問http://update.qido***ashi.com/下的“version.txt”獲取最新的病毒版本。如果版本不統(tǒng)一，則會通過該站點(diǎn)下的“download.txt”獲取病毒下載地址進(jìn)行更新。為了增加其病毒的隱蔽性，“第一代”病毒還試圖仿冒微軟簽名欺騙用戶，如下圖：

圖2-3. “第一代”病毒仿冒的微軟簽名展示

“第二代”病毒較前者去掉了病毒的更新功能，添加了“preservice.exe”用于結(jié)束一些主流安全軟件的安裝程序進(jìn)程。由于病毒“入場”時(shí)間早于安全軟件，在與安全軟件對抗的時(shí)候大大降低的技術(shù)成本。如下圖：

圖2-4. “preservice.exe”結(jié)束進(jìn)程概覽 

“第二代”病毒為了繞過國內(nèi)個(gè)別安全軟件的查殺，每個(gè)可執(zhí)行文件都加上自己的簽名。如下圖： 

圖2-5. “第二代”病毒所使用的簽名

經(jīng)過我們的粗略分析，我們初步找到在用戶計(jì)算機(jī)上流走的“灰色流量”源頭就是”Bloom”病毒，該病毒集“劫持流量”、實(shí)時(shí)更新、與安全軟件對抗于一身，把用戶的計(jì)算機(jī)變成了幫助病毒制造者賺錢的“肉雞”。 

三、追根溯源

通過病毒更新時(shí)使用的域名(http://update.qido***ashi.com)，我們找到了與病毒相關(guān)的一個(gè)“U盤啟動(dòng)制作工具”——“啟動(dòng)大師”的官網(wǎng)。如下圖：

圖3-1. 與病毒相關(guān)的“U盤啟動(dòng)制作工具”官網(wǎng)

通過下載和簡單的文件信息查看，我們發(fā)現(xiàn)“啟動(dòng)大師”所用的簽名雖然已經(jīng)失效，但其與“第二代”Bloom病毒所用的簽名是相同的。所以我們初步推斷，該病毒可能是被“啟動(dòng)大師”所釋放。

在用“啟動(dòng)大師”制作了PE啟動(dòng)盤后，我們進(jìn)入了其預(yù)設(shè)好的PE系統(tǒng)。“啟動(dòng)大師”運(yùn)行效果圖如下：

圖3-2. “啟動(dòng)大師”運(yùn)行效果圖

在進(jìn)入PE系統(tǒng)之后，我們發(fā)現(xiàn)“啟動(dòng)大師”的Ghost工具躍然于桌面，似乎有一種“恭候多時(shí)”的殷切。效果如下圖：

圖3-3. 使用“啟動(dòng)大師”制作的PE系統(tǒng)效果圖

我們隨即找到了該程序所在的位置，如下圖：

圖3-4. 與病毒相關(guān)的Ghost還原程序總覽

我們在該目錄下，發(fā)現(xiàn)了很多號稱是Ghost工具的程序和一些可疑的文件，我們對如上文件展開了詳細(xì)分析。

其中有三個(gè)自稱是Ghost工具的文件，其中“ghost32.exe”為正常的Ghost還原工具，其余的兩個(gè)“qddsghost.exe”和“ghost.exe”可能都和病毒有關(guān)，我們下面將對它們進(jìn)行詳細(xì)介紹。

首先，我們對“qddsghost.exe”進(jìn)行了分析，發(fā)現(xiàn)其不但會使用命令行調(diào)用真正的Ghost還原程序“ghost32.exe”，還會在還原后系統(tǒng)中釋放與修改首頁和修改各種瀏覽器的收藏夾的相關(guān)文件。

“qddsghost.exe”所釋放的文件都存在其資源中，資源Type(EXEFILE)_Name(AD)_Lang(0×804)是一個(gè)批處理文件（下文稱“ad.bat”），其起到了整體的調(diào)度分配作用。該批處理文件內(nèi)容如下：

圖3-5. “ad.bat”內(nèi)容總覽

我們將該批處理的內(nèi)容包括四個(gè)部分：

1) 瀏覽器“鎖首”：其使用命令行修改了一些主流瀏覽器（360安全瀏覽器、QQ瀏覽器、2345瀏覽器等）的默認(rèn)首頁，并且進(jìn)行了用戶系統(tǒng)的注冊表管理器，以防止用戶修復(fù)首頁。資源中包含的壓縮包中包含著幾種瀏覽器配置文件，替換配置文件后的瀏覽器默認(rèn)首頁和收藏夾就會被添加和修改。

2) 釋放“首頁劫持”快捷方式：Type(EXEFILE)_Name(IK1)_Lang(0×804)、Type(EXEFILE)_Name(IK2)_Lang(0×804)、Type(EXEFILE)_Name(IK3)_Lang(0×804) 三個(gè)資源都是網(wǎng)址鏈接文件，病毒調(diào)用的批處理會將他們釋放到用戶文件夾下的Favorites文件夾中。上述網(wǎng)址鏈接指向的推廣網(wǎng)址如下：

l http://www.ha**9.com/?1

l http://www.ha**5.com/?1

l http://www.taobao.com/go/chn/tbk_channel/channelcode.php?pid=mm_26101802_0_0&eventid=101329

3) 釋放Apache、搭建本地PHP跳轉(zhuǎn)頁面“黑吃黑”：其先下載 http://host.66***5.com/index3.txt 中存放的hosts文件，之后通過修改系統(tǒng)hosts文件將其過濾列表中的網(wǎng)址IP改為“127.0.0.1”（其搭建的跳轉(zhuǎn)頁），最后通過跳轉(zhuǎn)頁跳轉(zhuǎn)至推廣頁面。

圖3-6. 病毒在本地搭建的PHP跳轉(zhuǎn)頁面

最新評論