频道栏目
首页 > 安全 > 网络安全 > 正文

居然破坏ARK攻击杀毒软件,HTTPS劫持病毒木马恐怖升级

2017-09-11 09:32:20      个评论      
收藏   我要投稿

今朝,愈来愈多的网站开端注册证书,供给对HTTPS的支撑,掩护本身站点不被挟制。而作为对峙面的流量挟制进击,也开端将锋芒瞄准HTTPS,此中最罕见的一种办法就是捏造证书,做中间人挟制。

不久前,360宣布了《“偷梁换柱”掉包告白:HTTPS劫匪木马天天掠夺200万次收集拜访》的相干预警。克日,360互联网平安中间又发明一款名为“跑跑火神多功效帮助”的外挂软件中附带的挟制木马,该木马能够看做是以前挟制木马的增强版,其运转后加载RootKit木马驱动鼎力大举挟制导航及电商网站,应用中间人进击伎俩挟制HTTPS网站,同时还阻拦罕见ARK对象(Anti-Rootkit,检测查杀内核级木马的业余对象)运转,损坏杀软失常功效。

\

图1

依据咱们的数据分析,该木马不仅存在于多种外挂软件中,同时也包含于收集上传播的浩繁所谓“体系盘”中。一旦有人应用如许的体系盘装机,就等因而让电脑装机就沾染了流量挟制木马。

模块分工示意图:

\

图2

作歹行动:

1、停止软件推行:

法式中硬编码了从指定地点下载装置小黑记事本等多款软件:

\

图3

\

图4

2、损坏杀毒软件:

经由进程检测文件pdb文件名信息来检测断定Ark对象,检测到后间接停止进程并删除响应文件,如图所示检测了:PCHunter(原XueTr)、WinAST、PowerTool、Kernel Detective等,和一切固执木马同样,HTTPS劫匪也把360急救箱列为进击目的。

\

图5

删除杀软LoadImage回调:

\

图6

\

图7

阻拦网盾模块加载,其阻拦的列表以下:

\

图8

3、停止流量挟制

木马会云控挟制导航及电商网站,应用中间人进击伎俩,支撑挟制https网站

\

图9

中间人进击示意图

驱动挪用BlackBone代码将yyqg.dll注入到winlogon.exe进程中履行,

\

图10

BlackBone相干代码:

\

图11

yyqg.dll还会导入其捏造的一些罕见网站的ssl证书,导入证书的域名列表以下:

\

图12

调换的baidu的SSL证书:

\

图13

\

图14

经由进程云控节制必要挟制网站及挟制到目的网站列表:云控地点采用的是应用DNS:114.114.114.114(备用为:googleDNS:8.8.8.8和360DNS:101.226.4.6)剖析dns.5447.me的TXT记载获得的衔接:

获得云控衔接地点部门代码:

\

图15

\

图16

\

图17

应用Nslookup查问dns.5447.me的TXT记载也和该木马剖析拿到的成果同等:

\

图18

终极获得挟制列表地点:http://h.02**.me:97/i/hijack.txt?aa=1503482176

挟制网址列表及跳转目的衔接以下图,重要挟制导航及电商网站:

\

图19

驱动读取收集数据包:

\

图20

发送节制敕令:

\

图21

驱动层过滤拦阻到收集数据包前往给应用层yyqg.dll, 应用层yyqg.dll读取到数据剖析后依据云控列表婚配数据而后Response一段:

主动革新并指向新页面的代码

(http-equiv望文生义,相当于http的文件头感化)

\

图22

被挟制后给前往的成果:主动革新并指向新页面:http://h.02**.me:97/i

\

图23

http://h.02**.me:97/i再断定浏览器跳转到终极带有其推行ID的导航页面:如果是搜狗浏览器跳转到:http://www.hao123.com?123

不是搜狗浏览器则跳转到:http://www.hao774.com/?381**,至此就完成为了一个完备挟制进程。

\

图24

\

图25

挟制后果动图(双击关上):

\

图26

同时为了避免挟制呈现无穷轮回挟制,其还做了一个白名单列表主如果其挟制到的终极跳转页面衔接,碰到这些衔接时则不做挟制跳转。

http://h.02**.me:97/i/white.txt?aa=1503482177

\

图27

\

图28

传播:

除游戏外挂外,在许多Ghost体系盘里也发明了该类木马的行迹,且木马应用体系盘传播的数目远超外挂传播。应用带“毒”体系盘装机,还没来得及装置杀毒软件,流量挟制木马便主动运转;别的,外挂本身的困惑性,也极易引诱中招者疏忽杀软提示而冒险运转木马。

正因木马宿主的特殊性,使得该类流量挟制木马的沾染率极高。据360近期的查杀数据表现,因为体系自带木马,或疏忽平安软件提示运转带毒外挂的受益用户,曾经高达数十万之多。

\

图29

\

图30

\

再次提示宽大网民:

1.谨严应用网上传播的Ghost镜像,此中大多都带有各类歹意法式,倡议用户抉择正轨装置盘装置操作体系,免得本身的电脑被不法分子节制。

2.不法外挂软件“十挂九毒”,一定要加以鉴戒,分外是在请求必需加入平安软件才能应历时,切不可漫不经心;

3.装置操作体系后,第一时间装置杀毒软件,对能够存在的木马停止查杀。上彀时碰到杀毒软件预警,切不可随便放行可疑法式。

上一篇:U盘复制更改MBR勒索木马病毒研究
下一篇:笔记:Web安全
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站