盗墓笔记小说,盗墓笔记小说txt下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

Hacking Team漏洞大范圍掛馬，上百萬(wàn)電腦中招

一、概況

專注于為中小企業(yè)提供成都網(wǎng)站建設(shè)、網(wǎng)站建設(shè)服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)尼金平免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動(dòng)了上1000+企業(yè)的穩(wěn)健成長(zhǎng)，幫助中小企業(yè)通過(guò)網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

近日，騰訊反病毒實(shí)驗(yàn)室攔截到一個(gè)惡意推廣木馬大范圍傳播，總傳播量上百萬(wàn)，經(jīng)分析和排查發(fā)現(xiàn)該木馬具有以下特征：

1)該木馬是通過(guò)網(wǎng)頁(yè)掛馬的方式傳播的，經(jīng)分析黑客用來(lái)掛馬的漏洞是前段時(shí)間Hacking Team事件爆出的flash漏洞CVE-2015-5122。新版本的Flash Player已經(jīng)修復(fù)了該漏洞，但是國(guó)內(nèi)仍有大量的電腦未進(jìn)行更新，給該木馬的傳播創(chuàng)造了條件。

2)經(jīng)分析和追蹤，發(fā)現(xiàn)掛馬的主體是一個(gè)廣告flash，大量存在于博彩類網(wǎng)站、色情類網(wǎng)站、外{過(guò)}{濾}掛私-Fu類網(wǎng)站、中小型下載站等，以及部分流氓軟件的彈窗中，影響廣泛。

3)掛馬的漏洞影響Windows、MacOSX和Linux平臺(tái)上的IE、Chrome瀏覽器等主流瀏覽器。經(jīng)測(cè)試，在未打補(bǔ)丁電腦上均可觸發(fā)掛馬行為，國(guó)內(nèi)主流瀏覽器均未能對(duì)其進(jìn)行有效攔截和提醒。

4)木馬更新變種速度快，平均2-3小時(shí)更換一個(gè)新變種，以此逃避安全軟件的檢測(cè)，同時(shí)可降低單個(gè)文件的廣度，逃過(guò)安全軟件的廣度監(jiān)控。

5)該木馬主要功能是靜默安裝多款流氓軟件，部分被安裝的流氓軟件具有向安卓手機(jī)靜默安裝應(yīng)用的功能，危害嚴(yán)重。同時(shí)該木馬還玩起“黑吃黑”——能夠清除已在本機(jī)安裝的常見的其它流氓軟件，達(dá)到獨(dú)占電腦的目的。

圖1. Flash 漏洞掛馬示意圖

二、掛馬網(wǎng)站分析

經(jīng)分析和追蹤，發(fā)現(xiàn)掛馬的主體是一個(gè)廣告flash，當(dāng)訪問(wèn)到掛馬網(wǎng)站時(shí)，該flash文件會(huì)被自動(dòng)下載并播放，從而觸發(fā)漏洞導(dǎo)致感染木馬。如圖2所示。

圖2. 被掛馬的網(wǎng)站之一

圖3所示為帶木馬的Flash文件，有趣的是如果當(dāng)前電腦flash已經(jīng)打補(bǔ)丁，則顯示正常的廣告，如果flash未打相應(yīng)補(bǔ)丁則會(huì)觸發(fā)漏洞，在瀏覽器進(jìn)程內(nèi)執(zhí)行ShellCode。

[[152480]]

圖3. 掛馬的flash文件

通過(guò)反編譯flash文件可以發(fā)現(xiàn)，該flash是在Hacking Team泄漏代碼的基礎(chǔ)上修改而來(lái)的，該flash使用doswf做了加密和混淆，以增加安全人員分析難度。如圖4所示為掛馬flash代碼。

圖4. 掛馬的flash文件反編譯代碼

漏洞觸發(fā)后，直接在瀏覽器進(jìn)程中執(zhí)行ShellCode代碼，該ShellCode的功能是下載hxxp://222.186.10.210:8861/calc.exe到本地，存放到瀏覽器當(dāng)前目錄下，文件名為explorer.exe并執(zhí)行。

圖5. ShellCode經(jīng)混淆加密，其主要功能是下載執(zhí)行

Explorer.exe為了逃避殺軟的查殺，其更新速度非常塊，平均2-3小時(shí)更新變種一次，其變種除了修改代碼以逃避特征外，其圖標(biāo)也經(jīng)常變動(dòng)，以下是收集到的explorer.exe文件的部分圖標(biāo)，可以發(fā)現(xiàn)主要是使用一些知名軟件的圖標(biāo)進(jìn)行偽裝。

圖6. 木馬使用的偽裝圖標(biāo)列表

該木馬傳播量巨大，為了防止樣本廣度過(guò)高被安全廠商發(fā)現(xiàn)，變種速度飛快，該木馬10月中旬開始傳播，截至目前總傳播量上萬(wàn)的變種MD5統(tǒng)計(jì)如下：

圖7. 截至目前總傳播量上萬(wàn)的變種MD5列表#p#

三、木馬行為分析

木馬運(yùn)行后會(huì)通過(guò)檢測(cè)判斷是否存在c:\okokkk.txt文件，如果存在則表示已經(jīng)感染過(guò)不再感染，木馬退出，如果不存在則創(chuàng)建該文件，然后創(chuàng)建兩個(gè)線程，分別用于安裝推廣流氓軟件和清理非自己推廣的流氓軟件等。

圖8. 通過(guò)判斷“C:\okokkk.txt”文件來(lái)防止重復(fù)感染

“黑吃黑”是此木馬的一大特色，木馬運(yùn)行后專門創(chuàng)建了一個(gè)線程，用于檢測(cè)和刪除其它軟件的桌面快捷方式、開始菜單項(xiàng)中的目錄等，刪除的項(xiàng)目大部分為流氓軟件，其內(nèi)置的列表堪稱流氓軟件大全，涵蓋大量的流氓軟件，以下只是列表的一部分。

圖9. 部分被刪除的桌面快捷方式

圖10. 木馬要?jiǎng)h除的部分菜單項(xiàng)列表

循環(huán)結(jié)束指定進(jìn)程，包括taskmgr(任務(wù)管理器)、QQPCDownload(管家在線安裝)等多款軟件的安裝程序。

圖11. 循環(huán)結(jié)束指定進(jìn)程

向統(tǒng)計(jì)頁(yè)面發(fā)送信息，統(tǒng)計(jì)安裝量，隨后下載并靜默安裝以下軟件(共11款)，其中hbsetup64.exe是一款流氓軟件，能夠靜默向連接電腦的安卓手機(jī)安裝手機(jī)應(yīng)用，危害嚴(yán)重。

圖 12.該木馬靜默推廣的軟件列表及安裝統(tǒng)計(jì)地址

四、后記

被稱作“黑客核武庫(kù)”的Hacking Team泄漏數(shù)據(jù)大大降低了黑客攻擊的門檻，把整個(gè)黑色產(chǎn)業(yè)鏈的技術(shù)水平提高一個(gè)檔次，攻擊者僅需要對(duì)線程的代碼做少量的修改便可生成強(qiáng)大的攻擊“武器”，對(duì)整個(gè)互聯(lián)網(wǎng)安全構(gòu)成了嚴(yán)重的威脅。電腦管家第一時(shí)間發(fā)現(xiàn)并查殺該木馬，能夠?qū)W(wǎng)絡(luò)掛馬行為進(jìn)行攔截。同時(shí)，騰訊反病毒實(shí)驗(yàn)室提醒用戶，及時(shí)安裝軟件廠商提供的安全補(bǔ)丁能夠有效降低電腦被攻擊的風(fēng)險(xiǎn)。

*本文作者：騰訊電腦管家(企業(yè)賬戶)，轉(zhuǎn)載須注明來(lái)自FreeBuf黑客與極客(FreeBuf.COM)

網(wǎng)站標(biāo)題：Hacking Team漏洞大范圍掛馬，上百萬(wàn)電腦中招
標(biāo)題來(lái)源：http://www.fisionsoft.com.cn/article/coocphp.html

新聞中心

其他資訊