近期,360安全大腦就借助全網(wǎng)信息,感知到有著大量用戶的云辦公軟件明道云,官網(wǎng)下載鏈接慘遭劫持。當(dāng)用戶點(diǎn)擊官方網(wǎng)站的下載鏈接后,下載的卻是經(jīng)過(guò)偽裝的木馬安裝包。經(jīng)360安全大腦結(jié)合用戶被攻擊信息分析,初步判定這一貍貓換太子的把戲,源于明道云部分下載服務(wù)器失陷。
針對(duì)此次“藏毒“事件,360安全大腦第一時(shí)間通知明道云,目前,明道云官網(wǎng)和軟件已恢復(fù)安全,可正常下載使用。此外,360安全大腦已獨(dú)家攔截該木馬攻擊,廣大用戶也可盡快下載安裝360安全衛(wèi)士,保護(hù)個(gè)人數(shù)據(jù)及財(cái)產(chǎn)安全。
供應(yīng)鏈攻擊藏“毒”軟件源頭,利用信任輕松獲取大量用戶數(shù)據(jù)
隨著網(wǎng)絡(luò)安全防護(hù)技術(shù)的完善,黑客團(tuán)伙想利用傳統(tǒng)攻擊手段非法獲利,可謂愈發(fā)艱難。而針對(duì)供應(yīng)鏈發(fā)起的網(wǎng)絡(luò)攻擊,則通過(guò)利用用戶對(duì)于正版軟件供應(yīng)商的信任,讓成功率實(shí)現(xiàn)幾何式增長(zhǎng);另外,只要黑客成功攻陷一家軟件供應(yīng)商,就可以直接獲取大量用戶數(shù)據(jù),尤其當(dāng)這些用戶是以企業(yè)為單位時(shí),足以讓其“要不不開(kāi)張,開(kāi)張吃一年”。
經(jīng)在全網(wǎng)海量歷史數(shù)據(jù)中進(jìn)行溯源追查后,360安全大腦發(fā)現(xiàn)該黑客團(tuán)伙至少?gòu)?019年5月起就已經(jīng)開(kāi)始作案,主要采取投放釣魚(yú)木馬和直接滲透攻擊,并竊取了某些公司的數(shù)字證書(shū),導(dǎo)致后續(xù)散播的木馬程序具有了正規(guī)公司的數(shù)字簽名。
在360安全大腦捕獲到該例供應(yīng)鏈攻擊后,發(fā)現(xiàn)其木馬具有正常公司的數(shù)字簽名,乍一看還會(huì)誤認(rèn)為其“出身清白”。而事實(shí)是黑客團(tuán)伙重打包了明道云2.0.3版本的安裝包,并打上了簽名“西安星空互動(dòng)軟件開(kāi)發(fā)有限公司”
接著雙擊運(yùn)行木馬安裝包,360安全大腦還發(fā)現(xiàn)安裝目錄多出一個(gè)同樣非明道云官方簽名的hid.dll模塊(如下圖所示),除此之外的明道云文件全部正常,排查后發(fā)現(xiàn)這是針對(duì)明道云主程序MingDaoClould.exe的DLL劫持。而簽名處無(wú)奈背鍋的“西安星空互動(dòng)軟件開(kāi)發(fā)有限公司” 所屬一家制作游戲加速器的公司,很可能是黑客團(tuán)伙盜用的數(shù)字證書(shū),實(shí)與明道云毫無(wú)關(guān)系。
360安全大腦還對(duì)DLL文件進(jìn)行了分析,發(fā)現(xiàn)其功能主要是判斷用戶的.Net版本之后釋放一個(gè)BAT腳本文件(如下圖所示),這個(gè)腳本首先用C#編譯器編譯生成一個(gè)木馬下載器,然后將下載鏈接以參數(shù)的方式傳遞給下載去執(zhí)行,最后清理現(xiàn)場(chǎng)。
從木馬生成的批處理腳本可以看到它聯(lián)網(wǎng)獲取了一個(gè)名為logo.png的圖片,然而實(shí)際上這是一個(gè)可執(zhí)行程序。
該程序會(huì)聯(lián)網(wǎng)獲取一個(gè)尾部攜帶shellcode的圖片,然后查找桌面進(jìn)程(“explorer.exe”)并注入執(zhí)行shellcode,其具體功能就是建立一個(gè)連接到黑客團(tuán)伙的后門(mén)通道,等待接收控制指令。
新型攻擊手法層出不窮,云辦公安全或?qū)⒂瓉?lái)升級(jí)挑戰(zhàn)
本著對(duì)于木馬病毒的零容忍態(tài)度,360安全大腦不能坐視這種破壞正常軟件信任的事件發(fā)生。根據(jù)已有的信息在海量歷史數(shù)據(jù)中進(jìn)行溯源檢索顯示,該團(tuán)伙至少?gòu)?019年5月份起就已經(jīng)開(kāi)始通過(guò)滲透、釣魚(yú)等手法接連作案。
2019年5月23日,某企業(yè)員工遭到釣魚(yú)攻擊,接收了名為“簡(jiǎn)歷.exe”的文件后表現(xiàn)出受害者特征。
該釣魚(yú)文件的圖標(biāo)偽裝成系統(tǒng)文件夾的樣式,很容易迷惑普通用戶導(dǎo)致中招,實(shí)際上它是一個(gè)木馬下載器。(如下圖所示)
2019年9月7日,某用戶電腦遭到滲透攻擊,后續(xù)黑客團(tuán)伙手工投放木馬下載器“formdl.exe”進(jìn)行后續(xù)攻擊,該木馬會(huì)在內(nèi)存解密執(zhí)行聯(lián)網(wǎng)獲取的shellcode進(jìn)行后續(xù)攻擊。相關(guān)代碼大致如下圖所示。
在后續(xù)攻擊中還發(fā)現(xiàn)了具備正常簽名的木馬程序,這說(shuō)明黑客團(tuán)伙不是第一次盜用他人公司的正版數(shù)字證書(shū)了,除了“西安星空互動(dòng)軟件開(kāi)發(fā)有限公司”還盜用“Xiamen Tongbu Networks Ltd.”來(lái)簽發(fā)惡意程序,損害數(shù)字簽名可信度。
2019年9月16日,某游戲行業(yè)人員遭到釣魚(yú)攻擊,收到了釣魚(yú)文件“201909.exe”,行為與上文“簡(jiǎn)歷.exe”類(lèi)似。
2019年12月16日,某金融行業(yè)人員的電腦上,木馬文件隨系統(tǒng)服務(wù)開(kāi)機(jī)啟動(dòng)。
2019年12月18日,某房地產(chǎn)相關(guān)人員,遭受釣魚(yú)攻擊。
2020年3月27日,明道云某客服的電腦中招。
2020年4月10日,明道云某用戶遭遇針對(duì)性釣魚(yú)攻擊,用戶啟動(dòng)了釣魚(yú)文件之后,黑客會(huì)查找明道云的安裝目錄并釋放文件“version.dll”到其根目錄下。
文件“version.dll”會(huì)對(duì)明道云的主程序形成DLL劫持,每當(dāng)用戶啟動(dòng)明道云的時(shí)候就會(huì)隨之加載執(zhí)行,它的具體功能是和前文的“hid.dll”一樣最終注入桌面留下后門(mén)。
2020年4月27-28日,明道云官網(wǎng)下載鏈接被劫持,多例用戶電腦被感染。
與明道云官方溝通后,360安全大腦認(rèn)為,2020年發(fā)生的這三起攻擊并沒(méi)有發(fā)現(xiàn)直接聯(lián)系。
從追蹤溯源得到的信息不難看出,這個(gè)黑客團(tuán)伙一開(kāi)始并沒(méi)有什么具體的目標(biāo),受害者涉及各行各業(yè),各個(gè)受害者之間明顯都沒(méi)什么關(guān)系,但是此次針對(duì)明道云的攻擊持續(xù)了一個(gè)多月,與之前打一槍換一個(gè)地方的風(fēng)格相比發(fā)生了很大的變化。
對(duì)此,360安全大腦在整合后進(jìn)行了關(guān)聯(lián)與分析,發(fā)現(xiàn)這與明道云的獨(dú)特屬性關(guān)系密切。
1、高性能服務(wù)器能獲得“高回報(bào)“
明道云的服務(wù)對(duì)象主要是企業(yè)用戶,而企業(yè)的高性能服務(wù)器對(duì)于黑客團(tuán)伙來(lái)說(shuō)一直都很有吸引力。
2、藏毒開(kāi)發(fā)源頭實(shí)現(xiàn)火速蔓延
其次則是明道云的軟件特點(diǎn),明道云作為一個(gè)生產(chǎn)力工具,普通業(yè)務(wù)人員就能進(jìn)行開(kāi)發(fā),門(mén)檻低,開(kāi)發(fā)數(shù)量多,帶著病毒的新模塊快速形成二次擴(kuò)散攻擊。
基于以上兩點(diǎn),不難看出黑客團(tuán)伙認(rèn)為明道云完全值得他們花費(fèi)更多的時(shí)間和精力去攻擊并挖掘潛在價(jià)值。
由此可見(jiàn),隨著各類(lèi)云辦公軟件逐漸成為辦公族們的工作首選,隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也將如同雨后春筍般,油然而生。但360安全大腦通過(guò)多種技術(shù)手段防御和發(fā)現(xiàn)最新木馬病毒,且已率先實(shí)現(xiàn)對(duì)該類(lèi)木馬的查殺,為避免此類(lèi)攻擊的感染態(tài)勢(shì)進(jìn)一步擴(kuò)大,360安全大腦建議:
1、及時(shí)前往weishi.360.cn,下載安裝360安全衛(wèi)士,可有效攔截查殺各類(lèi)木馬病毒;
2、對(duì)于安全軟件提示風(fēng)險(xiǎn)的程序,切勿輕易添加信任或退出殺軟運(yùn)行;
3、使用360軟件管家下載軟件,360軟件管家收錄萬(wàn)款正版軟件,經(jīng)過(guò)360安全大腦白名單檢測(cè),下載、安裝、升級(jí),更安全。
們?cè)?3 月 9 號(hào)的文章中提到,知名安全軟件火絨發(fā)現(xiàn)用戶在多特軟件站下載軟件后,多特會(huì)通過(guò)下載器往用戶電腦植入木馬程序。
這個(gè)木馬程序會(huì)篡改用戶瀏覽器主頁(yè)、自動(dòng)下載流氓軟件并且不斷彈出垃圾廣告。
對(duì)此問(wèn)題,當(dāng)時(shí)我們提供了三種長(zhǎng)效的解決辦法,但應(yīng)對(duì)這位網(wǎng)友的情況就有點(diǎn)遠(yuǎn)水救不了近火。
恰好昨天火絨安全專(zhuān)門(mén)針對(duì)上述問(wèn)題進(jìn)行了更新。
我們也就有了還孩子一個(gè)干凈電腦的辦法。
那么廢話不多說(shuō),趕緊下載。
火絨安全跟大家熟悉的 360 安全衛(wèi)士功能差不多。
是 360 安全衛(wèi)士和騰訊電腦管家之后,又一款面向個(gè)人用戶的國(guó)產(chǎn)安全軟件。
跟兩位前輩不同的是,火絨安全個(gè)人版沒(méi)有彈窗和捆綁,功能全面,并且輕巧易用,應(yīng)該說(shuō)非常適合上網(wǎng)課的孩子使用。
彈窗攔截
火絨安全的功能分四大版塊,其中【彈窗攔截】功能在最右側(cè)的【安全工具】中。
像大家看到的那樣,火絨很了解國(guó)內(nèi)互聯(lián)網(wǎng)環(huán)境下「彈窗愛(ài)好者」都有誰(shuí)。
諸如 QQ、搜狗輸入法、WinRAR、Flash Player 之類(lèi)的,幾個(gè)彈窗大戶都在攔截之列。
一般開(kāi)啟火絨安全的彈窗功能后,彈窗會(huì)以肉眼不可見(jiàn)速度閃退,而桌面右下角則會(huì)提示有哪些彈窗被攔截。
這個(gè)開(kāi)關(guān)可以應(yīng)付大部分國(guó)人熟悉的彈窗類(lèi)型。
但畢竟道高一尺魔高一丈,一些新彈窗火絨可能沒(méi)法及時(shí)適配。
為此,火絨提供了【截圖攔截】功能。
用戶只需框選新出現(xiàn)的彈窗,火絨就會(huì)自動(dòng)記錄并屏蔽它。
只是按前文網(wǎng)友的描述,彈出內(nèi)容不雅的廣告,可能是電腦里有些類(lèi)似多特下載器的病毒。
所以只攔截彈窗還不夠,得從源頭解決問(wèn)題。
病毒查殺&下載器攔截
火絨本身也具備【病毒查殺】功能。
對(duì)于新安裝或已經(jīng)安裝的軟件,哪些帶廣告程序,哪些有病毒,火絨都會(huì)實(shí)時(shí)監(jiān)控自動(dòng)查殺。
這個(gè)功能不需要開(kāi)關(guān),裝上就自動(dòng)啟用了。
另外在昨天的更新中,火絨增加了一項(xiàng)特別針對(duì)下載站病毒的功能
——攔截(病毒)下載器
這個(gè)功能在【訪問(wèn)控制-程序執(zhí)行控制-下載站下載器】中開(kāi)啟。
我們嘗試打開(kāi)從某下載站,以高速下載方式得到的下載器。
可以看到火絨已經(jīng)進(jìn)行了攔截。
假如不進(jìn)行攔截,而是正常打開(kāi)此下載器的話,桌面就會(huì)得到一些奇怪的東西
對(duì)已有的彈窗和病毒進(jìn)行攔截、查殺,對(duì)潛在的病毒進(jìn)行阻止,如此即能夠最大程度上避免病毒、彈窗廣告困擾。
不過(guò)需要說(shuō)明的是,下載器攔截可能由于剛上線,并未說(shuō)明具體的攔截內(nèi)容,這或許會(huì)讓新用戶產(chǎn)生疑慮。
對(duì)此大家不必過(guò)于擔(dān)心,火絨官方稱(chēng)他們事先調(diào)查了國(guó)內(nèi)幾十家下載站。
這些下載站使用的下載器大多是相同的,因?yàn)閲?guó)內(nèi)做下載器的本來(lái)也就那么幾家,所以誤傷可能性不大。
另外自上次說(shuō)完多特的問(wèn)題后,我們和火絨官方新聞中接收到的,關(guān)于彈窗病毒的反饋都越來(lái)越多。
而新功能又隱藏太深,很多用戶還不甚了解,所以希望大家盡可能的點(diǎn)一下在看,幫助小朋友們避免垃圾軟件毒害。
大家可以直接百度火絨官網(wǎng),找到個(gè)人版下載,也可以通過(guò)下方回復(fù)獲取正確的安裝文件。(不過(guò)最近火絨也有冒牌貨了,注意)
后臺(tái)回復(fù) 577 獲取下載地址
日,關(guān)于“微軟正版Win10在中國(guó)免費(fèi)升級(jí)”的話題余溫未退,如何升級(jí)Win10又引起了人們的討論。據(jù)悉,這次微軟Win10獨(dú)家安全合作伙 伴360公司,已經(jīng)推出便捷的升級(jí)方法,用戶只要通過(guò)電腦上的360安全衛(wèi)士,就可以一鍵免費(fèi)自動(dòng)升級(jí),無(wú)需下載諸如“Win10升級(jí)助手”等升級(jí)軟件。
圖:360 安全衛(wèi)士?jī)?nèi)置 Win10升級(jí)助手可一鍵完成免費(fèi)升級(jí)
據(jù)了解,目前360安全衛(wèi)士已經(jīng)內(nèi)置Win10升級(jí)檢測(cè)工具,可以幫助用戶檢測(cè)電腦是否看是否滿足升級(jí)Win10的條件,包括處理器、內(nèi)存、顯 卡、系統(tǒng)盤(pán)等項(xiàng)目。檢測(cè)合格的用戶可以高枕無(wú)憂,在微軟正式推出Win10前,無(wú)需任何操作,靜候360安全衛(wèi)士通知即可;如果有項(xiàng)目沒(méi)有達(dá)到升級(jí)要求, 在提醒的同時(shí),360安全衛(wèi)士還會(huì)給出優(yōu)化解決方案。
在微軟正式開(kāi)放Win10升級(jí)后,360安全衛(wèi)士會(huì)第一時(shí)間提醒用戶,用戶只需安裝提醒界面中的提示操作,就可以通過(guò)360安全衛(wèi)士選擇升級(jí)到Win10,無(wú)需再下載其他升級(jí)軟件。
為避免了升級(jí)過(guò)程中可能存在的風(fēng)險(xiǎn),讓用戶安全無(wú)縫簡(jiǎn)單快速的升級(jí),360與微軟展開(kāi)了技術(shù)上的深度合作。360安全專(zhuān)家表示,整個(gè)升級(jí)過(guò)程需要1~2小時(shí),與一些需要下載器才能實(shí)現(xiàn)升級(jí)的方式相比,360安全衛(wèi)士拒絕靜默升級(jí)的做法看上去更加安全便捷。
為了讓用戶獲得最佳的升級(jí)通道,360在五個(gè)方面提供切實(shí)的服務(wù),用戶選擇360安全衛(wèi)士對(duì)系統(tǒng)進(jìn)行升級(jí)的過(guò)程中,可以享受:最大帶寬享受專(zhuān)屬 升級(jí)通道;用戶數(shù)據(jù)均已通過(guò)360與微軟進(jìn)行備份,保證用戶對(duì)信息在升級(jí)對(duì)過(guò)程中不會(huì)被遺失;用戶只需要一鍵就可以完成升級(jí);如果遇到使用問(wèn)題,還可以享 受360安全專(zhuān)家的實(shí)時(shí)全程指導(dǎo);如果用戶對(duì)升級(jí)后不滿意,還可以一鍵還原。
而從微軟方面的消息透露,免費(fèi)正版Win10將在今年夏天正式推出,而作為微軟Win10唯一安全合作伙伴,360已經(jīng)發(fā)起了免費(fèi)送正版Win10的活動(dòng),可以幫助全平臺(tái)用戶通過(guò)360安全衛(wèi)士一鍵免費(fèi)升級(jí)到正版Win10。
微軟相關(guān)負(fù)責(zé)人表示,此前一直在與360公司研究XP用戶的升級(jí)方案。據(jù)悉目前已經(jīng)攻克技術(shù)難題,完美實(shí)現(xiàn)XP到Win10的升級(jí)。而對(duì)于中國(guó)用戶更加利好的是,據(jù)未經(jīng)證實(shí)的消息稱(chēng),盜版用戶也在此次免費(fèi)升級(jí)的范圍內(nèi)。