潘多拉魔盒开启:全国多省爆发大规模软件升级劫持攻击

简介: 本文讲的是潘多拉魔盒开启:全国多省爆发大规模软件升级劫持攻击,不久前,Petya勒索病毒变种在乌克兰爆发,并蔓延到欧洲多个国家的大型企业。病毒攻击的根源是劫持了乌克兰专用会计软件me-doc的升级程序,使用户更新软件时感染病毒,从而对众多企业的系统和数据造成惨重损失。
本文讲的是 潘多拉魔盒开启:全国多省爆发大规模软件升级劫持攻击不久前,Petya勒索病毒变种在乌克兰爆发,并蔓延到欧洲多个国家的大型企业。病毒攻击的根源是劫持了乌克兰专用会计软件me-doc的升级程序,使用户更新软件时感染病毒,从而对众多企业的系统和数据造成惨重损失。

劫持软件升级“投毒”并不是新鲜的攻击手法,国内也屡有发生。但就在Petya勒索病毒变种轰动全球后短短数天时间内,山东、山西、福建、浙江等多省的软件升级劫持达到空前规模,360安全卫士对此类攻击的单日拦截量突破40万次!

尽管国内的软件升级劫持目前仅仅被利用流氓推广软件,但是大规模的网络劫持、大量缺乏安全升级机制的软件,如果再加上“商业模式”非常成熟的勒索病毒,无疑会造成灾难性后果。

事件还原

近期有多款软件用户密集反映360“误报了软件的升级程序”,但事实上,这些软件的升级程序已经被不法分子恶意替换。

下图就是一例爱奇艺客户端升级程序被劫持的下载过程:可以看到服务器返回了302跳转,把下载地址指向了一个并不属于爱奇艺的CDN服务器地址,导致下载回来的安装包变为被不法分子篡改过的推广程序。

潘多拉魔盒开启:全国多省爆发大规模软件升级劫持攻击

图1 遭302跳转劫持的下载链接

此次被劫持升级程序的流行软件远不止爱奇艺一家,下图就是一些由于网络劫持而出现的“假软件”。

潘多拉魔盒开启:全国多省爆发大规模软件升级劫持攻击

图2 被网络劫持替换的“假软件”

以下,我们以伪造的百度网盘安装程序 “BaiduNetdisk_5.5.4.exe”为例分析一下恶意程序的行为。

与正常的安装程序相比,该程序不具备合法的数字签名,并且体积较大。

潘多拉魔盒开启:全国多省爆发大规模软件升级劫持攻击

图3 被篡改的伪装安装程序

潘多拉魔盒开启:全国多省爆发大规模软件升级劫持攻击

图4 正常的安装程序

通过对比可以发现,两者在内容上还是有较大差别。两者只有8.7%的函数内容相同。

潘多拉魔盒开启:全国多省爆发大规模软件升级劫持攻击

图5 伪装安装程序和正常安装程序函数对比

程序最初执行时会从从资源段中释放一个PE文件并执行,该文件就是程序所伪装的正常安装包。因此,该伪装程序是在运行正常安装包的同时静默安装其他推广程序。在正常安装包运行时,本程序会读取bjftzt.cdn.powercdn.com站点的子目录下的一个dat文件的内容,dat文件路径根据安装程序不同而不同,本文分析的程序“BaiduNetdisk_5.5.4.exe”所读取的是bjftzt.cdn.powercdn.com/upc/20170329/2A7BF0576BE7380A30B8669182226FBD.dat。程序请求数据包内容如下图所示:

潘多拉魔盒开启:全国多省爆发大规模软件升级劫持攻击

图6 请求数据包内容

所读取的dat文件的内容如下图所示:

潘多拉魔盒开启:全国多省爆发大规模软件升级劫持攻击

图7 dat文件内容

dat文件中的内容经过base64+DES加密。DES密钥经过简单加密后硬编码在程序中,下图展示了DES密钥的解密过程:

潘多拉魔盒开启:全国多省爆发大规模软件升级劫持攻击

图8 DES密钥解密过程

解密后得到的DES密钥为“eh9ji8pf”。经分析发现多款伪装程序使用同一个DES密钥。

之后程序对dat文件的内容进行base64+DES解密,解密函数如下图所示:

潘多拉魔盒开启:全国多省爆发大规模软件升级劫持攻击

图9 解密函数

解密后得到的文件内容如下图所示。不难看出,文件内容为一个配置列表,列表中包括多个需要推广的应用程序名称、应用程序下载链接、程序启动参数、卸载对应的注册表项等信息:

潘多拉魔盒开启:全国多省爆发大规模软件升级劫持攻击

图10 解密后的dat文件内容

之后程序会从配置列表中选取一个推广程序的下载链接,下载推广程序并安装在受害者电脑上:

潘多拉魔盒开启:全国多省爆发大规模软件升级劫持攻击

  图11 下载推广程序的请求包内容

而以上流氓推广行为完成后,安装包会回归到原始的正常安装流程,以此来掩人耳目。

根据360安全卫士的持续监控和拦截,该劫持行为从今年3月底就已经开始出现,360一直在持续跟进查杀,近日来则突然出现了爆发趋势,为此360安全卫士官方微博公开发布了警报。

7月4日,也就是在360发布软件升级劫持攻击警报后,此类攻击行为出现了一定程度下降。

潘多拉魔盒开启:全国多省爆发大规模软件升级劫持攻击

图12 网络劫持量走势

根据已有数据统计显示,受到此次劫持事件影响的用户已经超过百万。而这些被劫持的用户绝大多数来自于山东地区。另外,山西、福建、浙江、新疆、河南等地也有一定规模爆发。

潘多拉魔盒开启:全国多省爆发大规模软件升级劫持攻击

图13 被劫持用户地域分布

在此提醒各大软件厂商,软件更新尽量采用https加密传输的方式进行升级,以防被网络劫持恶意利用。




原文发布时间为:2017年7月6日
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
存储 运维 安全
9月业务安全月报 | 西北工业大学遭美国国家安全局攻击;顶象发布人脸识别白皮书;《网络安全法》或迎来修改
随着数字化的深入普及,业务愈加开放互联。企业的关键数据、用户信息、基础设施、运营过程等均处于边界模糊且日益开放的环境中,涉及利益流和高附加值的业务面临多样的安全隐患,随时可能遭遇损失,进而影响企业运营和发展。
174 0
9月业务安全月报 | 西北工业大学遭美国国家安全局攻击;顶象发布人脸识别白皮书;《网络安全法》或迎来修改
|
网络安全
《2019上半年DDoS攻击态势报告》发布:应用层攻击形势依然严峻,海量移动设备成新一代肉鸡
阿里云安全团队基于2019年上半年云上的DDoS攻击数据,从DDoS攻击事件、僵尸网络中控、DDoS肉鸡、攻击事件情况等多个维度做了统计分析,希望为政府和企业客户提供参考。
4425 0
|
Web App开发 安全 数据安全/隐私保护
McAfee:“极光攻击”将会盛行
在周三的RSA 2010大会发言中,McAfee的研究人员表示,以获取企业源代码为目的的网络犯罪正在盛行,而企业对此方面的保护略显不足。 在RSA 2010上,McAfee展示了一个分析报告,关于对Perforce公司(一个做住房产权软件的公司)的调查。
1120 0
|
安全 网络安全 Apache
游戏安全资讯精选 2018年第七期:棋牌游戏的商业模式和风险,黑客利用Apache CouchDB中的两个“老漏洞”挖币,阿里云成功防御国内最大规模Memcached DDoS反射攻击
棋牌游戏的商业模式和风险,黑客利用Apache CouchDB中的两个“老漏洞”挖币,阿里云成功防御国内最大规模Memcached DDoS反射攻击
3099 0
|
安全 Android开发 数据安全/隐私保护
|
安全 NoSQL 关系型数据库
全球MySQL数据库沦为新一轮勒索软件攻击目标
本文讲的是全球MySQL数据库沦为新一轮勒索软件攻击目标,上个月,全球范围内大量 MongoDB因为配置不当导致公网匿名可访问,遭到勒索软件攻击,删除业务数据并索要赎金后才给恢复数据。近日,GuardiCore警告称,成千上万的MySQL数据库正成为勒索软件攻击的潜在受害者,这似乎是MongoDB“洗劫”活动的升级。
1852 0
|
安全 物联网 C++
记一枚可能被夸大的“数百万物联网设备远程劫持”漏洞
本文讲的是记一枚可能被夸大的“数百万物联网设备远程劫持”漏洞,安全研究人员发现,主流互联网设备制造商使用的开源组件开发库存在一个严重级别的远程命令执行漏洞(CVE-2017-9765),可使数百万物联网设备陷入危险之中,容易受到攻击。
1559 0
|
算法 安全 数据安全/隐私保护
勒索软件全球持续肆虐,新增多种攻击能力
本文讲的是勒索软件全球持续肆虐,新增多种攻击能力,Ransomware在最近几年已经开始广泛存在了,目前为止已经对众多企业、金融机构、全球医院乃至个人都发起过攻击,而网络犯罪分子利用其赚了数百万美元。
1551 0
|
运维 安全 NoSQL
游戏安全资讯精选 2017年 第六期:Akamai报告称游戏是流量型攻击的主要受害者,英国二手游戏经销商CeX漏洞遭利用,MongoDB等数据服务被劫持勒索风险预警,网络安全上榜五大稀缺职业
Akamai报告称游戏是流量型攻击的主要受害者,英国二手游戏经销商CeX漏洞遭利用,MongoDB等数据服务被劫持勒索风险预警,网络安全上榜五大稀缺职业
2561 0
下一篇
无影云桌面