一、概述

1.盜版軟件用戶和“APT攻擊”

我國(guó)電腦用戶當(dāng)中，使用盜版軟件是非常普遍的現(xiàn)象，從盜版的Windows系統(tǒng)到各種收費(fèi)軟件的“破解版”等等。

互聯(lián)網(wǎng)上也充斥著各種幫助用戶使用盜版的“激活工具”、“破解工具”，投其所好地幫助用戶使用盜版軟件。但是“天下沒(méi)有白吃的午餐”，除了一部分破解愛(ài)好者提供的無(wú)害的免費(fèi)激活工具之外，病毒制造者也瞄準(zhǔn)了盜版人群，他們利用提供激活工具的機(jī)會(huì)，將惡性病毒植入用戶電腦。

前段時(shí)間爆發(fā)的“小馬激活病毒”為例，其以系統(tǒng)激活工具的身份為掩護(hù)，利用其“入場(chǎng)”時(shí)間早的天然優(yōu)勢(shì)，在用戶電腦上屏蔽安全軟件、肆意劫持流量，危害極大。同理，許多病毒制造者病毒用PE工具箱、系統(tǒng)激活工具等形式進(jìn)行包裝，不但加快了病毒的傳播速度，也加強(qiáng)了其隱蔽性，從而躲避安全軟件的查殺。

提到APT，很多人會(huì)首先想到那些針對(duì)大型企業(yè)甚至事業(yè)部門的特定攻擊或威脅，以及0day、掛馬、間諜等。實(shí)際上，APT（AdvancedPersistent Threat，即高級(jí)持續(xù)性威脅），所指非常寬泛，即“通過(guò)較為高級(jí)的手段這對(duì)特定群體產(chǎn)生的持續(xù)性威脅”，因此針對(duì)盜版用戶的病毒威脅，也在APT攻擊之列。

本報(bào)告為大家揭示的病毒，就屬于這類惡意威脅。該病毒在系統(tǒng)安裝階段 “先人一步”釋放出惡意程序，并通過(guò)時(shí)間優(yōu)勢(shì)提前安置安全軟件白名單庫(kù)將病毒自身“拉白”，再通過(guò)眾多功能單一、目標(biāo)明確的程序相互配合，針對(duì) “盜版操作系統(tǒng)用戶”這一特定群體形成了持續(xù)性的威脅。

這種針對(duì)“盜版用戶”的APT攻擊迷惑性極強(qiáng)，用戶很難發(fā)現(xiàn)惡意程序。更要命的是，即使安全軟件報(bào)毒，用戶通常也會(huì)認(rèn)為是誤報(bào)了“系統(tǒng)程序”從而選擇放過(guò)。

2.“Bloom”病毒何以長(zhǎng)期“幸存”？

近期，火絨在一個(gè)瀏覽器首頁(yè)遭劫持的用戶現(xiàn)場(chǎng)中提取到了一組具有“鎖首”功能的惡意程序，該程序會(huì)通過(guò)修改用戶瀏覽器快捷方式的手段劫持“灰色流量”。在獲取樣本后，火絨便當(dāng)即對(duì)其進(jìn)行了查殺，因其注冊(cè)的服務(wù)名將其命名為“Bloom”病毒。

隨后，我們?cè)诨鸾q樣本庫(kù)中進(jìn)行關(guān)聯(lián)查詢，發(fā)現(xiàn)了該病毒在互聯(lián)網(wǎng)中流行的兩個(gè)主要版本，兩個(gè)版本時(shí)間相差一年，而“第一代”病毒更是在2014年就已經(jīng)出現(xiàn)。然而，截止目前為止，國(guó)內(nèi)的大部分主流安全軟件仍未能有效對(duì)其進(jìn)行查殺。隨著我們對(duì)這組樣本的分析我們發(fā)現(xiàn)，這組樣本中每個(gè)程序功能極為單一、獨(dú)立，如果僅僅通過(guò)對(duì)單個(gè)樣本進(jìn)行分析，并不能完整的獲得該病毒的整個(gè)邏輯，從而無(wú)法認(rèn)定其為惡意樣本。

正是因?yàn)樯鲜鲈?，使得這個(gè)病毒在安全軟件的眼皮底下堂而皇之地生存了至少兩年之久。

二、樣本分析

“Bloom”病毒是一組通過(guò)修改瀏覽器快捷方式的手段劫持用戶流量的惡意程序。通過(guò)火絨的“威脅情報(bào)分析系統(tǒng)”，我們發(fā)現(xiàn)該病毒通常會(huì)藏匿于以下幾個(gè)路徑名中：

C:\Program Files\BloomServices

C:\ProgramFiles\Supervise Services

C:\ProgramFiles\WinRAR\RARDATA

C:\Windows\Microsoft.NET\Framework\v4.0.3032018

C:\Program Files\WindowsDefender\DATA\Supervisory

觀察上述路徑名，我們發(fā)現(xiàn)該病毒通常會(huì)將自己偽裝到一些常見(jiàn)的系統(tǒng)目錄下，以此來(lái)蒙蔽用戶，致使安全軟件即使發(fā)現(xiàn)了該病毒，用戶也會(huì)誤以為是系統(tǒng)程序選擇放過(guò)。

經(jīng)過(guò)我們一段時(shí)間的追蹤，我們發(fā)現(xiàn)在當(dāng)前互聯(lián)網(wǎng)環(huán)境中活躍“Bloom”病毒的兩個(gè)版本，我們暫且稱他們?yōu)?ldquo;Bloom”病毒的“第一代”和“第二代”。如下圖所示：

圖2-1. “Bloom”病毒“第一代”（左）與“第二代”（右）概覽

兩代病毒都是通過(guò)名為“360.bat”的批處理腳本進(jìn)行病毒相關(guān)的初始化操作。如下圖所示：

圖2-2. “360.bat”內(nèi)容概覽

“Supervisory.exe”用來(lái)注冊(cè)服務(wù)，服務(wù)名為“Bloom Services”，該服務(wù)每隔一分鐘就會(huì)啟動(dòng)“Moniter.exe”，由該程序調(diào)用“Prison.exe”將瀏覽器快捷方式中加入網(wǎng)址參數(shù)，達(dá)到其劫持用戶流量的目的。其在“Prison.exe”中使用的網(wǎng)址如下：

l  http://bd.33**38.cc–> https://web.sogou.com/?12315

l  http://hao.33**38.cc-> http://www.2345.com/tg21145.htm

l  http://www.33**38.cc-> https://web.sogou.com/?12242-0001

l  http://bd.4**z.com/?fw ->   https://web.sogou.com/?12242-0001

l  http://bd.i**8.com/?fw –> http://www.2345.com/?33883

l  http://hao.4**z.com/?fw -> https://web.sogou.com/?12315

l  http://hao.i**8.com/?fw -> http://www.2345.com/tg21145.htm

l  http://www.4**z.com/?fw -> http://www.2345.com/tg16937.htm

l  http://www.i**8.com/?fw -> https://web.sogou.com/?12242-0001

由于“Prison.exe”中指向的網(wǎng)址是固定的，病毒作者為了增加“鎖首”的“靈活性”，還為“第一代”病毒設(shè)置了更新程序“360TidConsole.exe”。每隔一分鐘就會(huì)檢測(cè)“Prison.exe” ，如果本地的病毒版本過(guò)舊，就會(huì)通過(guò)訪問(wèn)http://update.qido***ashi.com/下的“version.txt”獲取最新的病毒版本。如果版本不統(tǒng)一，則會(huì)通過(guò)該站點(diǎn)下的“download.txt”獲取病毒下載地址進(jìn)行更新。為了增加其病毒的隱蔽性，“第一代”病毒還試圖仿冒微軟簽名欺騙用戶，如下圖：

圖2-3. “第一代”病毒仿冒的微軟簽名展示

“第二代”病毒較前者去掉了病毒的更新功能，添加了“preservice.exe”用于結(jié)束一些主流安全軟件的安裝程序進(jìn)程。由于病毒“入場(chǎng)”時(shí)間早于安全軟件，在與安全軟件對(duì)抗的時(shí)候大大降低的技術(shù)成本。如下圖：

圖2-4. “preservice.exe”結(jié)束進(jìn)程概覽 

“第二代”病毒為了繞過(guò)國(guó)內(nèi)個(gè)別安全軟件的查殺，每個(gè)可執(zhí)行文件都加上自己的簽名。如下圖： 

圖2-5. “第二代”病毒所使用的簽名

經(jīng)過(guò)我們的粗略分析，我們初步找到在用戶計(jì)算機(jī)上流走的“灰色流量”源頭就是”Bloom”病毒，該病毒集“劫持流量”、實(shí)時(shí)更新、與安全軟件對(duì)抗于一身，把用戶的計(jì)算機(jī)變成了幫助病毒制造者賺錢的“肉雞”。 

三、追根溯源

通過(guò)病毒更新時(shí)使用的域名(http://update.qido***ashi.com)，我們找到了與病毒相關(guān)的一個(gè)“U盤啟動(dòng)制作工具”——“啟動(dòng)大師”的官網(wǎng)。如下圖：

圖3-1. 與病毒相關(guān)的“U盤啟動(dòng)制作工具”官網(wǎng)

通過(guò)下載和簡(jiǎn)單的文件信息查看，我們發(fā)現(xiàn)“啟動(dòng)大師”所用的簽名雖然已經(jīng)失效，但其與“第二代”Bloom病毒所用的簽名是相同的。所以我們初步推斷，該病毒可能是被“啟動(dòng)大師”所釋放。

在用“啟動(dòng)大師”制作了PE啟動(dòng)盤后，我們進(jìn)入了其預(yù)設(shè)好的PE系統(tǒng)。“啟動(dòng)大師”運(yùn)行效果圖如下：

圖3-2. “啟動(dòng)大師”運(yùn)行效果圖

在進(jìn)入PE系統(tǒng)之后，我們發(fā)現(xiàn)“啟動(dòng)大師”的Ghost工具躍然于桌面，似乎有一種“恭候多時(shí)”的殷切。效果如下圖：

圖3-3. 使用“啟動(dòng)大師”制作的PE系統(tǒng)效果圖

我們隨即找到了該程序所在的位置，如下圖：

圖3-4. 與病毒相關(guān)的Ghost還原程序總覽

我們?cè)谠撃夸浵拢l(fā)現(xiàn)了很多號(hào)稱是Ghost工具的程序和一些可疑的文件，我們對(duì)如上文件展開(kāi)了詳細(xì)分析。

其中有三個(gè)自稱是Ghost工具的文件，其中“ghost32.exe”為正常的Ghost還原工具，其余的兩個(gè)“qddsghost.exe”和“ghost.exe”可能都和病毒有關(guān)，我們下面將對(duì)它們進(jìn)行詳細(xì)介紹。

首先，我們對(duì)“qddsghost.exe”進(jìn)行了分析，發(fā)現(xiàn)其不但會(huì)使用命令行調(diào)用真正的Ghost還原程序“ghost32.exe”，還會(huì)在還原后系統(tǒng)中釋放與修改首頁(yè)和修改各種瀏覽器的收藏夾的相關(guān)文件。

“qddsghost.exe”所釋放的文件都存在其資源中，資源Type(EXEFILE)_Name(AD)_Lang(0×804)是一個(gè)批處理文件（下文稱“ad.bat”），其起到了整體的調(diào)度分配作用。該批處理文件內(nèi)容如下：

圖3-5. “ad.bat”內(nèi)容總覽

我們將該批處理的內(nèi)容包括四個(gè)部分：

1) 瀏覽器“鎖首”：其使用命令行修改了一些主流瀏覽器（360安全瀏覽器、QQ瀏覽器、2345瀏覽器等）的默認(rèn)首頁(yè)，并且進(jìn)行了用戶系統(tǒng)的注冊(cè)表管理器，以防止用戶修復(fù)首頁(yè)。資源中包含的壓縮包中包含著幾種瀏覽器配置文件，替換配置文件后的瀏覽器默認(rèn)首頁(yè)和收藏夾就會(huì)被添加和修改。

2) 釋放“首頁(yè)劫持”快捷方式：Type(EXEFILE)_Name(IK1)_Lang(0×804)、Type(EXEFILE)_Name(IK2)_Lang(0×804)、Type(EXEFILE)_Name(IK3)_Lang(0×804) 三個(gè)資源都是網(wǎng)址鏈接文件，病毒調(diào)用的批處理會(huì)將他們釋放到用戶文件夾下的Favorites文件夾中。上述網(wǎng)址鏈接指向的推廣網(wǎng)址如下：

l http://www.ha**9.com/?1

l http://www.ha**5.com/?1

l http://www.taobao.com/go/chn/tbk_channel/channelcode.php?pid=mm_26101802_0_0&eventid=101329

3) 釋放Apache、搭建本地PHP跳轉(zhuǎn)頁(yè)面“黑吃黑”：其先下載 http://host.66***5.com/index3.txt 中存放的hosts文件，之后通過(guò)修改系統(tǒng)hosts文件將其過(guò)濾列表中的網(wǎng)址IP改為“127.0.0.1”（其搭建的跳轉(zhuǎn)頁(yè)），最后通過(guò)跳轉(zhuǎn)頁(yè)跳轉(zhuǎn)至推廣頁(yè)面。

圖3-6. 病毒在本地搭建的PHP跳轉(zhuǎn)頁(yè)面

代碼中過(guò)濾的大部分網(wǎng)址都為非法網(wǎng)址，其通過(guò)本地過(guò)濾的方式借其他”灰色流量”為自己賺取流量，打壓“黑色產(chǎn)業(yè)鏈”中的“同行”，借他們的手為自己賺錢。

1) 釋放安全軟件的白名單庫(kù)：Type(EXEFILE)_Name(BAIDUSD7)_Lang(0×804)和Type(EXEFILE)_Name(QQPCMGR)_Lang(0×804)都是壓縮包，前者壓縮的文件是百度殺毒的白名單數(shù)據(jù)庫(kù)，后者為騰訊電腦管家的白名單數(shù)據(jù)庫(kù)及相關(guān)配置。

圖3-7. 百度殺毒白名單數(shù)據(jù)庫(kù)設(shè)置

由于該病毒的“入場(chǎng)”時(shí)間早于安全軟件，當(dāng)安全軟件安裝時(shí)，會(huì)誤認(rèn)為這些白名單配置為之前安裝后保留的配置，使得病毒可以通過(guò)修改安全軟件白名單的方法直接繞過(guò)安全軟件查殺。

1) 病毒使用的一些基礎(chǔ)工具，包含命令行版的7z程序包等。

在“qddsghost.exe”啟動(dòng)之后還會(huì)調(diào)用“srcdll.dll”動(dòng)態(tài)庫(kù)中的導(dǎo)出函數(shù)“shifanzyexedll”。在該動(dòng)態(tài)庫(kù)中，我們也發(fā)現(xiàn)了很多資源，除了修改首頁(yè)的批處理文件之外，其余全部都是可執(zhí)行文件。

下圖中顯示了srcdll.dll文件釋放出來(lái)的文件之間的相互關(guān)系，其首先會(huì)釋放最上邊的三個(gè)深色的可執(zhí)行文件，通過(guò)對(duì)這三個(gè)文件的運(yùn)行和分析，我們又得到了四組惡意程序。

圖3-8. srcdll.dll釋放文件關(guān)系圖（圖中標(biāo)號(hào)與下文對(duì)應(yīng)）

第一組：“QQBrowser.exe”和“QQBrowser.reg”。可執(zhí)行文件會(huì)將注冊(cè)表文件導(dǎo)入到系統(tǒng)中，其將QQ瀏覽器的首頁(yè)修改為病毒的跳轉(zhuǎn)頁(yè)。

第二組：“Home.exe”和“pic.exe”都會(huì)修改IE首頁(yè)，“pf.exe”是釋放出了很多網(wǎng)址鏈接文件和加了網(wǎng)址參數(shù)瀏覽器快捷方式用于其進(jìn)行“流量變現(xiàn)”，在WIN7系統(tǒng)下其還會(huì)釋放“淘寶商城.exe”，該程序會(huì)打開(kāi)帶有推廣付費(fèi)號(hào)的“愛(ài)淘寶”網(wǎng)址鏈接。“pf.exe”程序運(yùn)行效果圖如下：

圖3-9. “pf.exe”運(yùn)行效果圖

第三組：“sdff.exe”運(yùn)行后會(huì)在桌面上建立了“story.exe”和“tutule.exe”的快捷方式，其兩者會(huì)跳轉(zhuǎn)到兩個(gè)不同的推廣頁(yè)。除了釋放上述文件和快捷方式外，其還會(huì)釋放出“Bloom”病毒，每隔一段時(shí)間就會(huì)修改用戶的瀏覽器快捷方式中加入推廣網(wǎng)址。

第四組：“Project1.exe”會(huì)將“360safte.dll ”注冊(cè)為BHO（Browser Helper Object）插件，其會(huì)劫持瀏覽器訪問(wèn)的網(wǎng)址。該插件會(huì)根據(jù)自己在http://bho.66***5.com/config.txt上的劫持列表，在瀏覽器訪問(wèn)其中的網(wǎng)址時(shí)將其劫持為帶有推廣付費(fèi)號(hào)的網(wǎng)址鏈接。如果系統(tǒng)中還有其他的程序在進(jìn)行廣告推廣時(shí)，這些流量最終都會(huì)流進(jìn)病毒作者的“腰包”，使得該病毒不但成為了其截取流量的工具，也成為了其用來(lái)“黑吃黑”的牟利工具。

圖3-10. 病毒劫持網(wǎng)址列表

通過(guò)對(duì)以上四組文件的分析，我們發(fā)現(xiàn)了“啟動(dòng)大師”釋放的所有病毒都是為了進(jìn)行“流量變現(xiàn)”的，其所涉及的大型網(wǎng)站之多讓人不禁嗔目結(jié)舌。以上四組病毒所涉及的網(wǎng)址站點(diǎn)如下：

l 百度（www.baidu.com）

l 淘寶聚劃算（ju.taobao.com）

l 天貓商城（jx.tmall.com）

l 愛(ài)淘寶（ai.taobao.com）

l 京東商城（www.jd.com）

l 一號(hào)店（www.yhd.com）

l 搜狗網(wǎng)址導(dǎo)航（web.sougou.com）

l 2345網(wǎng)址導(dǎo)航（www.2345.com）

l Hao123網(wǎng)址導(dǎo)航（www.hao123.com）

l 黃金屋（www.35kxs.com）

l 女人街（www.womenjie.com）

在使用“啟動(dòng)大師”之后，其所釋放的眾多程序通過(guò)相互配合源源不斷地為其作者劫持“灰色流量”，通過(guò)高隱蔽性的偽裝對(duì)“盜版用戶”造成了高級(jí)的、可持續(xù)性威脅，使用戶成為了病毒作者刷取“灰色流量”的“肉雞”。用戶在搜索、網(wǎng)購(gòu)、瀏覽互聯(lián)網(wǎng)媒體信息時(shí)，這些非法流量會(huì)將源源不斷地計(jì)入這些病毒所用的計(jì)費(fèi)賬號(hào)。

“啟動(dòng)大師”的“病毒制作團(tuán)隊(duì)”以PE工具箱為誘餌，借助用戶安裝盜版系統(tǒng)的“剛需”將病毒在系統(tǒng)還原的時(shí)間點(diǎn)釋放到用戶的計(jì)算機(jī)中，以多種形式進(jìn)行“流量變現(xiàn)”，嚴(yán)重侵害了用戶切身利益。對(duì)于該病毒的上述惡意行為，針對(duì)與該病毒相關(guān)的所有樣本火絨已經(jīng)率先進(jìn)行查殺。

暗藏在“灰色流量”源頭的幕后黑手仿佛已經(jīng)浮出水面，但是究竟誰(shuí)才是這種“瘋狂套利”現(xiàn)象背后的推手？為何用戶長(zhǎng)時(shí)間處于病毒威脅之中卻又無(wú)人過(guò)問(wèn)？我想這是值得我們每個(gè)人深思的問(wèn)題。

四、結(jié)論

隨著國(guó)內(nèi)互聯(lián)網(wǎng)環(huán)境的日益復(fù)雜，如今的用戶所面對(duì)環(huán)境的復(fù)雜程度史無(wú)前例。內(nèi)有“啟動(dòng)大師”這樣的“流氓當(dāng)?shù)?rdquo;，外有勒索病毒一類高威脅性病毒對(duì)我們的虎視眈眈，對(duì)于一個(gè)普通用戶而言，能夠保證自己遠(yuǎn)離這些威脅已經(jīng)實(shí)屬不易。但是隨著當(dāng)今互聯(lián)網(wǎng)中“套利方式”的不斷翻新，每天互聯(lián)網(wǎng)中都會(huì)出現(xiàn)新的病毒、流氓軟件威脅用戶的信息安全和切身利益。

如今的互聯(lián)網(wǎng)環(huán)境之下，用戶電腦在無(wú)孔不入的病毒面前很容易失守，再加之國(guó)內(nèi)的大型互聯(lián)網(wǎng)公司本身對(duì)流量有著長(zhǎng)期、迫切的需求，使得病毒和流氓軟件的制造者瘋狂的在攻擊手段和套路上無(wú)所不用其極。

互聯(lián)網(wǎng)環(huán)境日益復(fù)雜，而國(guó)內(nèi)的互聯(lián)網(wǎng)企業(yè)對(duì)于網(wǎng)絡(luò)安全的重視程度有待提升，從而造成“黑色產(chǎn)業(yè)鏈”的參與者也加入了國(guó)內(nèi)的互聯(lián)網(wǎng)大潮，造成了當(dāng)前互聯(lián)網(wǎng)中惡意競(jìng)爭(zhēng)事件屢見(jiàn)不鮮。一些互聯(lián)網(wǎng)公司受到了這些“快速變現(xiàn)”的“邪門歪道”的影響，逐漸的也把重點(diǎn)放在了想方設(shè)法獲取用戶瀏覽，促進(jìn)公司業(yè)績(jī)上，對(duì)于見(jiàn)效慢、盈利周期長(zhǎng)的主營(yíng)業(yè)務(wù)則漸漸降低了成本，以此為循環(huán)不斷地追求高績(jī)效、高收益。

而這些不也正是當(dāng)前國(guó)內(nèi)經(jīng)濟(jì)市場(chǎng)存在“產(chǎn)能過(guò)剩”的根源嗎？長(zhǎng)此以往定會(huì)影響國(guó)內(nèi)互聯(lián)網(wǎng)的健康發(fā)展。過(guò)剩的“灰色流量”不但降低了用戶的使用體驗(yàn)，也大大地影響的急需廣告推廣的互聯(lián)網(wǎng)企業(yè)的企業(yè)形象及推廣質(zhì)量。 

五、附錄

文中涉及樣本SHA1

最新評(píng)論