要問這世界上最痛苦的是什么,黑馬認(rèn)為莫過(guò)于跟女朋友一起看小視頻時(shí)等待廣告的那段時(shí)間了。
關(guān)于廣告,我相信各位老司機(jī)“動(dòng)手能力”都是比較強(qiáng)的。有廣告?裝個(gè)屏蔽軟件啊emmmm...今天,黑馬要講的故事就從這里開始了~
先從我們的廣告說(shuō)起吧,如果你是個(gè)90后那么你肯定用過(guò)一個(gè)廣告攔截軟件:凈網(wǎng)大師
為什么要用凈網(wǎng)大師呢?幾年前的互聯(lián)網(wǎng)可謂是“混亂無(wú)比”(這里的混亂指的是某些廣告直接遮擋了內(nèi)容)此時(shí)突然出現(xiàn)的凈網(wǎng)大師就像是雪中送炭,給我們帶來(lái)無(wú)與倫比的溫暖。
是的,那時(shí)候的凈網(wǎng)大師的比重類似于,宅男硬盤中的“啟蒙老師”。但是這么一款良心的軟件,也逐漸的變了味道。
為什么這么說(shuō)?因?yàn)楹隈R最近特地去體驗(yàn)了一番
結(jié)果剛剛安裝上準(zhǔn)備打開的時(shí)候,出現(xiàn)了這個(gè):
emmm....我臉不疼...
出于對(duì)火絨的信任,黑馬使勁的把凈網(wǎng)大師扒了個(gè)底朝天。這一扒不得了,黑馬都被震驚了。
凈網(wǎng)大師作為一個(gè)廣告攔截軟件,自己卻在后臺(tái)篡改主頁(yè)直接劫持了用戶的流量。
簡(jiǎn)單的說(shuō),就是你打開一個(gè)網(wǎng)站,比如說(shuō)2345,標(biāo)準(zhǔn)的網(wǎng)站地址是:www.2345.com。可是一旦被劫持后你們打開的頁(yè)面就變成了:https://www.2345.com/?34188-0001
雖然打開后的頁(yè)面都是一樣的,但是黑馬相信廣大的黑粉們都不喜歡被別人從背后慢慢割肉。
有些黑粉肯定遇見過(guò)本來(lái)打開淘寶,最后跳轉(zhuǎn)的是愛淘寶的情況吧?
而真正的淘寶網(wǎng)首頁(yè)是這樣的:
其實(shí),這種返利的網(wǎng)站也是可以讓推廣者獲得巨大利潤(rùn)的。只要有用戶通過(guò)這個(gè)網(wǎng)站購(gòu)物,推廣者都會(huì)獲得相應(yīng)的返利。再比如你想打開天貓,TA卻給你跳轉(zhuǎn)的是天貓精選。
甚至曾經(jīng)的我們,想要下載游戲盒子,可是卻下載了一堆的**助手、**管家之類的。
以下是流量劫持的原理,可以看到,廣告主可以通過(guò)HTTP代理直接劫持用戶的流量。
這也是Google將所有的,HTTP網(wǎng)站標(biāo)作不安全的原因。
而以HTTPS為開頭的網(wǎng)站,則不會(huì)出現(xiàn)這種情況。
(歡迎感興趣的黑粉自行嘗試)
根據(jù)一名網(wǎng)友的貼吧爆料和官方反饋我們可以知道,34188-0001是大聯(lián)盟的推廣鏈接,而大聯(lián)盟又是凈網(wǎng)大師的合作伙伴。
這就有意思了,自己本來(lái)做的是一個(gè)廣告攔截軟件,卻跑去和廣告商聯(lián)盟合作了,這種操作不得不讓人欽佩。根據(jù)火絨安全的報(bào)道:凈網(wǎng)大師是用替換計(jì)費(fèi)名的方式,來(lái)劫持流量、獲取暴利的。
在對(duì)這個(gè)軟件進(jìn)行行為分析的時(shí)候黑馬發(fā)現(xiàn):安裝過(guò)程中88“AdAnti.exe”進(jìn)程會(huì)在系統(tǒng)驅(qū)動(dòng)目錄,自動(dòng)釋放一個(gè)名為“rtdxftex.sys”的驅(qū)動(dòng)。
(圖片來(lái)源于火絨安全)
在病毒驅(qū)動(dòng)加載后就會(huì)提取,到和病毒相關(guān)的特征信息。該病毒會(huì)將其解密后的動(dòng)態(tài)庫(kù),通過(guò)APC注入的方式注入到“explorer.exe”進(jìn)程中。之后百度的搜索鏈接就會(huì)被帶上病毒的計(jì)費(fèi)ID,然后你的流量就會(huì)被劫持了。
(圖片來(lái)源于火絨安全:計(jì)費(fèi)ID)
看到了吧
?他們主要劫持的都是一些知名的導(dǎo)航網(wǎng)站。比如見的最多的hao123、電商交易網(wǎng)站以及一些在線支付網(wǎng)站等。
并且最重要的是,它的劫持規(guī)則可以隨時(shí)通過(guò)后臺(tái),進(jìn)行遠(yuǎn)程遠(yuǎn)程修改。
(可能除了欽佩還是欽佩吧)
黑馬通過(guò)資料查證發(fā)現(xiàn),凈網(wǎng)大師的官網(wǎng)的版本號(hào)停留在v4.0.610,但是網(wǎng)絡(luò)上流傳的版本卻已經(jīng)到了v5.3。。。(你們這是走在了“科技的最前沿”啊)
你們以為只有凈網(wǎng)大師才會(huì)劫持流量么,錯(cuò)了!還有清網(wǎng)大師、廣告過(guò)濾大師、清網(wǎng)衛(wèi)士。。。。根據(jù)火絨官方的描述,它們的功能廣告過(guò)濾規(guī)則、惡意代碼都是一模一樣的。
看到這里相信大部分黑粉都知道了,軟件本身沒有錯(cuò),可是卻被有心人利用改成了賺黑心錢的工具。利用最開始的軟件進(jìn)行修改,然后消耗著之前積攢下的良好口碑。借用火絨官方的話:軟件提供服務(wù),用戶購(gòu)買服務(wù),這才是健康的商業(yè)模式。而不是打著“免費(fèi)”口,背地里卻把用戶電腦當(dāng)做戰(zhàn)場(chǎng)、用于賺錢。
類似凈網(wǎng)大師這種屏蔽軟件,監(jiān)守自盜的行為,無(wú)疑是在敗壞整個(gè)行業(yè)的口碑。
對(duì)于好的軟件服務(wù),黑馬相信用戶還是愿意付費(fèi)的,可是背后偷偷摸摸這樣的行為真的讓人很不齒。
最后用一句話來(lái)說(shuō)就是:羊毛出在羊身上,買單的卻是豬(這話簡(jiǎn)直適用于任何場(chǎng)景呢~)
一、背景
近期,火絨團(tuán)隊(duì)截獲一個(gè)由商業(yè)軟件攜帶的病毒,并以其載體命名為“凈廣大師”病毒。在目前廣為流行的“流量劫持”類病毒中,該病毒策略高明、技術(shù)暴力,并攻破HTTPS的“金鐘罩”,讓百度等互聯(lián)網(wǎng)廠商普遍使用的反劫持技術(shù)面臨嚴(yán)峻挑戰(zhàn)。且該病毒驅(qū)動(dòng)在”凈廣大師“卸載后仍然會(huì)持續(xù)加載并劫持百度搜索流量,行為及其惡劣。
我們?cè)诖饲皥?bào)告(http://bbs.huorong.cn/thread-18766-1-1.html)中進(jìn)行過(guò)病毒簡(jiǎn)述,本文中我們將對(duì)“凈廣大師”病毒進(jìn)行詳細(xì)分析。
二、 樣本分析
在“凈廣大師”安裝過(guò)程中,我們注意到“AdAnti.exe”進(jìn)程在系統(tǒng)驅(qū)動(dòng)目錄下釋放了一個(gè)隱藏的文件名為“rtdxftex.sys”的驅(qū)動(dòng)。如下圖所示:
圖2-1、“凈廣大師”安裝過(guò)程
該驅(qū)動(dòng)是“AdAnti.exe”從“凈廣大師”安裝目錄下復(fù)制到系統(tǒng)驅(qū)動(dòng)目錄的,該驅(qū)動(dòng)有32位和64位兩個(gè)版本,文中主要依據(jù)32位版本的病毒驅(qū)動(dòng)(TdxFlt_i386.sys)進(jìn)行分析。如下圖所示:
圖2-2、病毒驅(qū)動(dòng)文件
在病毒驅(qū)動(dòng)加載后,通過(guò)提取內(nèi)存字符串,我們獲得到了更多與病毒相關(guān)的特征信息,而且這些特征在靜態(tài)狀態(tài)下是無(wú)法在病毒驅(qū)動(dòng)文件中提取到的。如下圖所示:
圖2-3、病毒驅(qū)動(dòng)加載后的內(nèi)存數(shù)據(jù)
通過(guò)我們對(duì)該病毒驅(qū)動(dòng)的分析,我們發(fā)現(xiàn)該驅(qū)動(dòng)運(yùn)行會(huì)先執(zhí)行兩次解密操作,第一個(gè)解密后獲得驅(qū)動(dòng)運(yùn)行時(shí)所需的數(shù)據(jù),第二個(gè)解密操作可以得到一個(gè)病毒動(dòng)態(tài)庫(kù)。解密代碼如下圖所示:
圖2-4、病毒解密代碼
根據(jù)其代碼中的解密算法還原,我們可以解密出該驅(qū)動(dòng)使用的一個(gè)病毒動(dòng)態(tài)庫(kù)和在其內(nèi)部使用的一些關(guān)鍵的數(shù)據(jù),如下圖所示:
圖2-5、病毒動(dòng)態(tài)庫(kù)解密
圖2-6、病毒數(shù)據(jù)解密
通過(guò)對(duì)病毒驅(qū)動(dòng)的分析,我們發(fā)現(xiàn)病毒會(huì)將其解密后的動(dòng)態(tài)庫(kù)通過(guò)APC注入的方式注入到“explorer.exe”進(jìn)程中。如下圖所示:
圖2-7、病毒注入“explorer.exe”代碼
圖2-8、APC注入代碼(1)
圖2-9、APC注入代碼(2)
在病毒注入“explorer.exe”之后,百度的搜索鏈接便會(huì)被劫持帶上病毒制造者的計(jì)費(fèi)ID。在我們重現(xiàn)的環(huán)境中,該病毒劫持到的計(jì)費(fèi)ID為“93718154_hao_pg”。如下圖所示:
圖2-10、百度被病毒劫持
通過(guò)分析得知,該病毒是通過(guò)代理的方式,以中間人攻擊的形式來(lái)劫持HTTPS流量。如下圖所示,病毒驅(qū)動(dòng)注入到explorer.exe進(jìn)程的代碼會(huì)監(jiān)聽10100端口。
圖2-11、注入后explorer的病毒代碼劫持IE的聯(lián)網(wǎng)請(qǐng)求
當(dāng)瀏覽器訪問百度時(shí),病毒驅(qū)動(dòng)會(huì)將連向百度(61.135.169.125)443端口(HTTPS)的鏈接重定向到本地的10100監(jiān)聽端口,explorer中的病毒代碼再代替瀏覽器發(fā)起與遠(yuǎn)端Web服務(wù)器的鏈接進(jìn)行通訊。該病毒同時(shí)通過(guò)自己攜帶的證書分別與瀏覽器和遠(yuǎn)端Web服務(wù)器完成SSL握手,進(jìn)而以中間人攻擊的形式完全控制HTTPS鏈路通信。
圖2-12、中間人攻擊示意圖
通過(guò)對(duì)該病毒注入explorer的動(dòng)態(tài)庫(kù)進(jìn)行分析,發(fā)現(xiàn)在該動(dòng)態(tài)庫(kù)資源中,我們可以看到病毒”劫持”所用到的SSL證書。如下圖所示:
圖2-13、病毒發(fā)起劫持所用到的SSL證書
在病毒將該動(dòng)態(tài)庫(kù)注入explorer后,我們?cè)趀xplorer.exe進(jìn)程的內(nèi)存塊中也同樣可以提取到與上圖相同的證書數(shù)據(jù)。
圖2-14、explorer.exe進(jìn)程內(nèi)存字符串
在將上述內(nèi)存中的證書數(shù)據(jù)保存為證書文件后,將其與病毒劫持證書進(jìn)行對(duì)比,兩者的根證書與子證書完全一致。如下圖所示:
圖2-15、靜態(tài)解碼的劫持證書(左為根證書、右為子證書)
圖2-16、被劫持現(xiàn)場(chǎng)中顯示的劫持證書(中為根證書、右為子證書)
通過(guò)在火絨樣本管理平臺(tái)中搜索“凈廣大師”病毒使用的百度計(jì)費(fèi)ID“93718154_hao_pg”,我們得到了少量關(guān)聯(lián)樣本。如圖所示:
圖3-1、部分樣本sha1
圖3-2、帶有推廣號(hào)“93718154_hao_pg”的病毒樣本
通過(guò)分析,我們發(fā)現(xiàn)這些樣本與之前截獲的“凈廣大師“病毒樣本具有極高的同源性,且火絨已全部檢出。同時(shí),我們也從VirusTotal上查到友商對(duì)該病毒的檢出結(jié)果。如圖所示:
圖3-3、友商對(duì)“凈廣大師”病毒同源樣本檢出結(jié)果
隨后,我們有提取了這些病毒代碼中的部分關(guān)鍵數(shù)據(jù),在火絨樣本管理平臺(tái)中通過(guò)關(guān)聯(lián)查詢得到了更多的同源性樣本。我們隨即將這些病毒樣本按捕獲的時(shí)間進(jìn)行了排序?qū)Ρ龋缦聢D所示:
圖3-4、該病毒家族以往樣本數(shù)據(jù)
通過(guò)上圖我們可以看出,無(wú)論是病毒的數(shù)據(jù)特征,還是病毒工程的編譯路徑都顯示該家族的所有病毒樣本與“凈廣大師“病毒一樣,都出自同一個(gè)人。根據(jù)我們收集到樣本時(shí)間來(lái)看,近段時(shí)間以來(lái)該病毒正在不斷地進(jìn)行迭代更新。從最早期樣本運(yùn)行時(shí)會(huì)產(chǎn)生日志,再到后來(lái)使用多個(gè)推廣計(jì)費(fèi)號(hào)劫持百度搜索,到最后現(xiàn)在版本將病毒數(shù)據(jù)和病毒動(dòng)態(tài)庫(kù)以加密方式存放在驅(qū)動(dòng)鏡像中。隨著病毒的不斷迭代,病毒的復(fù)雜程度正在不斷提升。
文中涉及樣本SHA1:
“凈廣大師”病毒同源樣本SHA1: