一、概述

1.盜版軟件用戶和“APT攻擊”

我國電腦用戶當(dāng)中，使用盜版軟件是非常普遍的現(xiàn)象，從盜版的Windows系統(tǒng)到各種收費軟件的“破解版”等等。

互聯(lián)網(wǎng)上也充斥著各種幫助用戶使用盜版的“激活工具”、“破解工具”，投其所好地幫助用戶使用盜版軟件。但是“天下沒有白吃的午餐”，除了一部分破解愛好者提供的無害的免費激活工具之外，病毒制造者也瞄準(zhǔn)了盜版人群，他們利用提供激活工具的機會，將惡性病毒植入用戶電腦。

前段時間爆發(fā)的“小馬激活病毒”為例，其以系統(tǒng)激活工具的身份為掩護，利用其“入場”時間早的天然優(yōu)勢，在用戶電腦上屏蔽安全軟件、肆意劫持流量，危害極大。同理，許多病毒制造者病毒用PE工具箱、系統(tǒng)激活工具等形式進行包裝，不但加快了病毒的傳播速度，也加強了其隱蔽性，從而躲避安全軟件的查殺。

提到APT，很多人會首先想到那些針對大型企業(yè)甚至事業(yè)部門的特定攻擊或威脅，以及0day、掛馬、間諜等。實際上，APT（AdvancedPersistent Threat，即高級持續(xù)性威脅），所指非常寬泛，即“通過較為高級的手段這對特定群體產(chǎn)生的持續(xù)性威脅”，因此針對盜版用戶的病毒威脅，也在APT攻擊之列。

本報告為大家揭示的病毒，就屬于這類惡意威脅。該病毒在系統(tǒng)安裝階段 “先人一步”釋放出惡意程序，并通過時間優(yōu)勢提前安置安全軟件白名單庫將病毒自身“拉白”，再通過眾多功能單一、目標(biāo)明確的程序相互配合，針對 “盜版操作系統(tǒng)用戶”這一特定群體形成了持續(xù)性的威脅。

這種針對“盜版用戶”的APT攻擊迷惑性極強，用戶很難發(fā)現(xiàn)惡意程序。更要命的是，即使安全軟件報毒，用戶通常也會認為是誤報了“系統(tǒng)程序”從而選擇放過。

2.“Bloom”病毒何以長期“幸存”？

近期，火絨在一個瀏覽器首頁遭劫持的用戶現(xiàn)場中提取到了一組具有“鎖首”功能的惡意程序，該程序會通過修改用戶瀏覽器快捷方式的手段劫持“灰色流量”。在獲取樣本后，火絨便當(dāng)即對其進行了查殺，因其注冊的服務(wù)名將其命名為“Bloom”病毒。

隨后，我們在火絨樣本庫中進行關(guān)聯(lián)查詢，發(fā)現(xiàn)了該病毒在互聯(lián)網(wǎng)中流行的兩個主要版本，兩個版本時間相差一年，而“第一代”病毒更是在2014年就已經(jīng)出現(xiàn)。然而，截止目前為止，國內(nèi)的大部分主流安全軟件仍未能有效對其進行查殺。隨著我們對這組樣本的分析我們發(fā)現(xiàn)，這組樣本中每個程序功能極為單一、獨立，如果僅僅通過對單個樣本進行分析，并不能完整的獲得該病毒的整個邏輯，從而無法認定其為惡意樣本。

正是因為上述原因，使得這個病毒在安全軟件的眼皮底下堂而皇之地生存了至少兩年之久。

二、樣本分析

“Bloom”病毒是一組通過修改瀏覽器快捷方式的手段劫持用戶流量的惡意程序。通過火絨的“威脅情報分析系統(tǒng)”，我們發(fā)現(xiàn)該病毒通常會藏匿于以下幾個路徑名中：

C:\Program Files\BloomServices

C:\ProgramFiles\Supervise Services

C:\ProgramFiles\WinRAR\RARDATA

C:\Windows\Microsoft.NET\Framework\v4.0.3032018

C:\Program Files\WindowsDefender\DATA\Supervisory

觀察上述路徑名，我們發(fā)現(xiàn)該病毒通常會將自己偽裝到一些常見的系統(tǒng)目錄下，以此來蒙蔽用戶，致使安全軟件即使發(fā)現(xiàn)了該病毒，用戶也會誤以為是系統(tǒng)程序選擇放過。

經(jīng)過我們一段時間的追蹤，我們發(fā)現(xiàn)在當(dāng)前互聯(lián)網(wǎng)環(huán)境中活躍“Bloom”病毒的兩個版本，我們暫且稱他們?yōu)?ldquo;Bloom”病毒的“第一代”和“第二代”。如下圖所示：

圖2-1. “Bloom”病毒“第一代”（左）與“第二代”（右）概覽

兩代病毒都是通過名為“360.bat”的批處理腳本進行病毒相關(guān)的初始化操作。如下圖所示：

圖2-2. “360.bat”內(nèi)容概覽

“Supervisory.exe”用來注冊服務(wù)，服務(wù)名為“Bloom Services”，該服務(wù)每隔一分鐘就會啟動“Moniter.exe”，由該程序調(diào)用“Prison.exe”將瀏覽器快捷方式中加入網(wǎng)址參數(shù)，達到其劫持用戶流量的目的。其在“Prison.exe”中使用的網(wǎng)址如下：

l  http://bd.33**38.cc–> https://web.sogou.com/?12315

l  http://hao.33**38.cc-> http://www.2345.com/tg21145.htm

l  http://www.33**38.cc-> https://web.sogou.com/?12242-0001

l  http://bd.4**z.com/?fw ->   https://web.sogou.com/?12242-0001

l  http://bd.i**8.com/?fw –> http://www.2345.com/?33883

l  http://hao.4**z.com/?fw -> https://web.sogou.com/?12315

l  http://hao.i**8.com/?fw -> http://www.2345.com/tg21145.htm

l  http://www.4**z.com/?fw -> http://www.2345.com/tg16937.htm

l  http://www.i**8.com/?fw -> https://web.sogou.com/?12242-0001

由于“Prison.exe”中指向的網(wǎng)址是固定的，病毒作者為了增加“鎖首”的“靈活性”，還為“第一代”病毒設(shè)置了更新程序“360TidConsole.exe”。每隔一分鐘就會檢測“Prison.exe” ，如果本地的病毒版本過舊，就會通過訪問http://update.qido***ashi.com/下的“version.txt”獲取最新的病毒版本。如果版本不統(tǒng)一，則會通過該站點下的“download.txt”獲取病毒下載地址進行更新。為了增加其病毒的隱蔽性，“第一代”病毒還試圖仿冒微軟簽名欺騙用戶，如下圖：

圖2-3. “第一代”病毒仿冒的微軟簽名展示

“第二代”病毒較前者去掉了病毒的更新功能，添加了“preservice.exe”用于結(jié)束一些主流安全軟件的安裝程序進程。由于病毒“入場”時間早于安全軟件，在與安全軟件對抗的時候大大降低的技術(shù)成本。如下圖：

圖2-4. “preservice.exe”結(jié)束進程概覽 

“第二代”病毒為了繞過國內(nèi)個別安全軟件的查殺，每個可執(zhí)行文件都加上自己的簽名。如下圖： 

圖2-5. “第二代”病毒所使用的簽名

經(jīng)過我們的粗略分析，我們初步找到在用戶計算機上流走的“灰色流量”源頭就是”Bloom”病毒，該病毒集“劫持流量”、實時更新、與安全軟件對抗于一身，把用戶的計算機變成了幫助病毒制造者賺錢的“肉雞”。 

三、追根溯源

通過病毒更新時使用的域名(http://update.qido***ashi.com)，我們找到了與病毒相關(guān)的一個“U盤啟動制作工具”——“啟動大師”的官網(wǎng)。如下圖：

圖3-1. 與病毒相關(guān)的“U盤啟動制作工具”官網(wǎng)

通過下載和簡單的文件信息查看，我們發(fā)現(xiàn)“啟動大師”所用的簽名雖然已經(jīng)失效，但其與“第二代”Bloom病毒所用的簽名是相同的。所以我們初步推斷，該病毒可能是被“啟動大師”所釋放。

在用“啟動大師”制作了PE啟動盤后，我們進入了其預(yù)設(shè)好的PE系統(tǒng)。“啟動大師”運行效果圖如下：

圖3-2. “啟動大師”運行效果圖

在進入PE系統(tǒng)之后，我們發(fā)現(xiàn)“啟動大師”的Ghost工具躍然于桌面，似乎有一種“恭候多時”的殷切。效果如下圖：

圖3-3. 使用“啟動大師”制作的PE系統(tǒng)效果圖

我們隨即找到了該程序所在的位置，如下圖：

圖3-4. 與病毒相關(guān)的Ghost還原程序總覽

我們在該目錄下，發(fā)現(xiàn)了很多號稱是Ghost工具的程序和一些可疑的文件，我們對如上文件展開了詳細分析。

其中有三個自稱是Ghost工具的文件，其中“ghost32.exe”為正常的Ghost還原工具，其余的兩個“qddsghost.exe”和“ghost.exe”可能都和病毒有關(guān)，我們下面將對它們進行詳細介紹。

首先，我們對“qddsghost.exe”進行了分析，發(fā)現(xiàn)其不但會使用命令行調(diào)用真正的Ghost還原程序“ghost32.exe”，還會在還原后系統(tǒng)中釋放與修改首頁和修改各種瀏覽器的收藏夾的相關(guān)文件。

“qddsghost.exe”所釋放的文件都存在其資源中，資源Type(EXEFILE)_Name(AD)_Lang(0×804)是一個批處理文件（下文稱“ad.bat”），其起到了整體的調(diào)度分配作用。該批處理文件內(nèi)容如下：

圖3-5. “ad.bat”內(nèi)容總覽

我們將該批處理的內(nèi)容包括四個部分：

1) 瀏覽器“鎖首”：其使用命令行修改了一些主流瀏覽器（360安全瀏覽器、QQ瀏覽器、2345瀏覽器等）的默認首頁，并且進行了用戶系統(tǒng)的注冊表管理器，以防止用戶修復(fù)首頁。資源中包含的壓縮包中包含著幾種瀏覽器配置文件，替換配置文件后的瀏覽器默認首頁和收藏夾就會被添加和修改。

2) 釋放“首頁劫持”快捷方式：Type(EXEFILE)_Name(IK1)_Lang(0×804)、Type(EXEFILE)_Name(IK2)_Lang(0×804)、Type(EXEFILE)_Name(IK3)_Lang(0×804) 三個資源都是網(wǎng)址鏈接文件，病毒調(diào)用的批處理會將他們釋放到用戶文件夾下的Favorites文件夾中。上述網(wǎng)址鏈接指向的推廣網(wǎng)址如下：

l http://www.ha**9.com/?1

l http://www.ha**5.com/?1

l http://www.taobao.com/go/chn/tbk_channel/channelcode.php?pid=mm_26101802_0_0&eventid=101329

3) 釋放Apache、搭建本地PHP跳轉(zhuǎn)頁面“黑吃黑”：其先下載 http://host.66***5.com/index3.txt 中存放的hosts文件，之后通過修改系統(tǒng)hosts文件將其過濾列表中的網(wǎng)址IP改為“127.0.0.1”（其搭建的跳轉(zhuǎn)頁），最后通過跳轉(zhuǎn)頁跳轉(zhuǎn)至推廣頁面。

圖3-6. 病毒在本地搭建的PHP跳轉(zhuǎn)頁面

代碼中過濾的大部分網(wǎng)址都為非法網(wǎng)址，其通過本地過濾的方式借其他”灰色流量”為自己賺取流量，打壓“黑色產(chǎn)業(yè)鏈”中的“同行”，借他們的手為自己賺錢。

1) 釋放安全軟件的白名單庫：Type(EXEFILE)_Name(BAIDUSD7)_Lang(0×804)和Type(EXEFILE)_Name(QQPCMGR)_Lang(0×804)都是壓縮包，前者壓縮的文件是百度殺毒的白名單數(shù)據(jù)庫，后者為騰訊電腦管家的白名單數(shù)據(jù)庫及相關(guān)配置。

圖3-7. 百度殺毒白名單數(shù)據(jù)庫設(shè)置

由于該病毒的“入場”時間早于安全軟件，當(dāng)安全軟件安裝時，會誤認為這些白名單配置為之前安裝后保留的配置，使得病毒可以通過修改安全軟件白名單的方法直接繞過安全軟件查殺。

1) 病毒使用的一些基礎(chǔ)工具，包含命令行版的7z程序包等。

在“qddsghost.exe”啟動之后還會調(diào)用“srcdll.dll”動態(tài)庫中的導(dǎo)出函數(shù)“shifanzyexedll”。在該動態(tài)庫中，我們也發(fā)現(xiàn)了很多資源，除了修改首頁的批處理文件之外，其余全部都是可執(zhí)行文件。

下圖中顯示了srcdll.dll文件釋放出來的文件之間的相互關(guān)系，其首先會釋放最上邊的三個深色的可執(zhí)行文件，通過對這三個文件的運行和分析，我們又得到了四組惡意程序。

圖3-8. srcdll.dll釋放文件關(guān)系圖（圖中標(biāo)號與下文對應(yīng)）

第一組：“QQBrowser.exe”和“QQBrowser.reg”?？蓤?zhí)行文件會將注冊表文件導(dǎo)入到系統(tǒng)中，其將QQ瀏覽器的首頁修改為病毒的跳轉(zhuǎn)頁。

第二組：“Home.exe”和“pic.exe”都會修改IE首頁，“pf.exe”是釋放出了很多網(wǎng)址鏈接文件和加了網(wǎng)址參數(shù)瀏覽器快捷方式用于其進行“流量變現(xiàn)”，在WIN7系統(tǒng)下其還會釋放“淘寶商城.exe”，該程序會打開帶有推廣付費號的“愛淘寶”網(wǎng)址鏈接。“pf.exe”程序運行效果圖如下：

圖3-9. “pf.exe”運行效果圖

第三組：“sdff.exe”運行后會在桌面上建立了“story.exe”和“tutule.exe”的快捷方式，其兩者會跳轉(zhuǎn)到兩個不同的推廣頁。除了釋放上述文件和快捷方式外，其還會釋放出“Bloom”病毒，每隔一段時間就會修改用戶的瀏覽器快捷方式中加入推廣網(wǎng)址。

第四組：“Project1.exe”會將“360safte.dll ”注冊為BHO（Browser Helper Object）插件，其會劫持瀏覽器訪問的網(wǎng)址。該插件會根據(jù)自己在http://bho.66***5.com/config.txt上的劫持列表，在瀏覽器訪問其中的網(wǎng)址時將其劫持為帶有推廣付費號的網(wǎng)址鏈接。如果系統(tǒng)中還有其他的程序在進行廣告推廣時，這些流量最終都會流進病毒作者的“腰包”，使得該病毒不但成為了其截取流量的工具，也成為了其用來“黑吃黑”的牟利工具。

圖3-10. 病毒劫持網(wǎng)址列表

通過對以上四組文件的分析，我們發(fā)現(xiàn)了“啟動大師”釋放的所有病毒都是為了進行“流量變現(xiàn)”的，其所涉及的大型網(wǎng)站之多讓人不禁嗔目結(jié)舌。以上四組病毒所涉及的網(wǎng)址站點如下：

l 百度（www.baidu.com）

l 淘寶聚劃算（ju.taobao.com）

l 天貓商城（jx.tmall.com）

l 愛淘寶（ai.taobao.com）

l 京東商城（www.jd.com）

l 一號店（www.yhd.com）

l 搜狗網(wǎng)址導(dǎo)航（web.sougou.com）

l 2345網(wǎng)址導(dǎo)航（www.2345.com）

l Hao123網(wǎng)址導(dǎo)航（www.hao123.com）

l 黃金屋（www.35kxs.com）

l 女人街（www.womenjie.com）

在使用“啟動大師”之后，其所釋放的眾多程序通過相互配合源源不斷地為其作者劫持“灰色流量”，通過高隱蔽性的偽裝對“盜版用戶”造成了高級的、可持續(xù)性威脅，使用戶成為了病毒作者刷取“灰色流量”的“肉雞”。用戶在搜索、網(wǎng)購、瀏覽互聯(lián)網(wǎng)媒體信息時，這些非法流量會將源源不斷地計入這些病毒所用的計費賬號。

“啟動大師”的“病毒制作團隊”以PE工具箱為誘餌，借助用戶安裝盜版系統(tǒng)的“剛需”將病毒在系統(tǒng)還原的時間點釋放到用戶的計算機中，以多種形式進行“流量變現(xiàn)”，嚴(yán)重侵害了用戶切身利益。對于該病毒的上述惡意行為，針對與該病毒相關(guān)的所有樣本火絨已經(jīng)率先進行查殺。

暗藏在“灰色流量”源頭的幕后黑手仿佛已經(jīng)浮出水面，但是究竟誰才是這種“瘋狂套利”現(xiàn)象背后的推手？為何用戶長時間處于病毒威脅之中卻又無人過問？我想這是值得我們每個人深思的問題。

四、結(jié)論

隨著國內(nèi)互聯(lián)網(wǎng)環(huán)境的日益復(fù)雜，如今的用戶所面對環(huán)境的復(fù)雜程度史無前例。內(nèi)有“啟動大師”這樣的“流氓當(dāng)?shù)?rdquo;，外有勒索病毒一類高威脅性病毒對我們的虎視眈眈，對于一個普通用戶而言，能夠保證自己遠離這些威脅已經(jīng)實屬不易。但是隨著當(dāng)今互聯(lián)網(wǎng)中“套利方式”的不斷翻新，每天互聯(lián)網(wǎng)中都會出現(xiàn)新的病毒、流氓軟件威脅用戶的信息安全和切身利益。

如今的互聯(lián)網(wǎng)環(huán)境之下，用戶電腦在無孔不入的病毒面前很容易失守，再加之國內(nèi)的大型互聯(lián)網(wǎng)公司本身對流量有著長期、迫切的需求，使得病毒和流氓軟件的制造者瘋狂的在攻擊手段和套路上無所不用其極。

互聯(lián)網(wǎng)環(huán)境日益復(fù)雜，而國內(nèi)的互聯(lián)網(wǎng)企業(yè)對于網(wǎng)絡(luò)安全的重視程度有待提升，從而造成“黑色產(chǎn)業(yè)鏈”的參與者也加入了國內(nèi)的互聯(lián)網(wǎng)大潮，造成了當(dāng)前互聯(lián)網(wǎng)中惡意競爭事件屢見不鮮。一些互聯(lián)網(wǎng)公司受到了這些“快速變現(xiàn)”的“邪門歪道”的影響，逐漸的也把重點放在了想方設(shè)法獲取用戶瀏覽，促進公司業(yè)績上，對于見效慢、盈利周期長的主營業(yè)務(wù)則漸漸降低了成本，以此為循環(huán)不斷地追求高績效、高收益。

而這些不也正是當(dāng)前國內(nèi)經(jīng)濟市場存在“產(chǎn)能過剩”的根源嗎？長此以往定會影響國內(nèi)互聯(lián)網(wǎng)的健康發(fā)展。過剩的“灰色流量”不但降低了用戶的使用體驗，也大大地影響的急需廣告推廣的互聯(lián)網(wǎng)企業(yè)的企業(yè)形象及推廣質(zhì)量。 

五、附錄

文中涉及樣本SHA1

最新評論