、概述
4月1日凌晨�����,火絨安全團隊發(fā)出警報�����,部分“2345導航站”首頁的彈窗廣告攜帶盜號木馬�����,該病毒會偷取QQ���、游戲平臺(steam��、WeGame)、知名游戲(地下城與勇士���、英雄聯(lián)盟、穿越火線)的賬號���。這是一次設計精巧、組織周密的大規(guī)模盜號行動�����,利用周末時間突然發(fā)起攻擊�����,主要目標是網(wǎng)吧游戲用戶�����。
火絨工程師分析,部分“2345導航站”首頁右下角會彈出彈窗廣告(上圖紅色箭頭所指)��,該廣告頁面一經(jīng)彈出��,即可自動下載病毒��,無需用戶點擊。病毒下載鏈接自動激活后,首先訪問跳板網(wǎng)站“yyakeq.cn”(存放跳板腳本以及flash漏洞)���,然后再從“ce56b.cn”網(wǎng)站下載病毒,而盜取的QQ���、游戲等賬號則被上傳到“zouxian1.cn”網(wǎng)站。
該病毒利用IE瀏覽器漏洞和Flash漏洞進行傳播���,受影響Flash控件版本從21.0.0.180至31.0.0.160。所有使用360��、搜狗等主流瀏覽器的用戶��,如果其Flash控件是以上版本��,都會被感染��。
該病毒整個傳播鏈條及所涉相關企業(yè)�����、疑似團伙嫌疑人等信息,請閱讀后附的詳細分析報告。
二��、樣本分析
近期�����,火絨發(fā)現(xiàn)2345��、hao774等多個2345旗下導航站中廣告內(nèi)容帶有漏洞攻擊代碼。通過分析確認�����,我們初步認定2345旗下導航站被投毒���。廣告內(nèi)容涉及瀏覽器漏洞和Flash漏洞��,漏洞代碼執(zhí)行后會從C&C服務器(hxxps:// www.yyakeq.cn)下載執(zhí)行病毒代碼���,現(xiàn)階段火絨發(fā)現(xiàn)的病毒代碼內(nèi)容多為盜號病毒�����。該漏洞攻擊只針對特定的推廣計費號,再聯(lián)系其廣告內(nèi)容“高價在線回收所有網(wǎng)游裝備/金幣”,我們推斷此次攻擊主要針對對象主要為網(wǎng)絡游戲人群�����,且針對性極強���。2345導航站中相關廣告內(nèi)容和相關HTML代碼��,如下圖所示:
2345導航站中相關廣告內(nèi)容和相關HTML代碼
從頁面代碼看,該廣告展示代碼的植入也非?�!捌嫣亍保驗閺V告展示鏈接是硬編碼在頁面代碼中的��。根據(jù)web.archive.org的抓取結(jié)果���,該廣告展示代碼應該于2019年3月25日至2019年3月28日期間首次上線���,截至本報告撰寫時�����,該代碼仍然有效且漏洞和病毒邏輯仍可激活��。惡意廣告內(nèi)容為被包含在iframe標簽中的廣告頁面。頁面嵌套關系,如下圖所示:
病毒頁面嵌套調(diào)用關系
tj.html中首先會默認加載ad.html利用Flash漏洞進行攻擊���,之后再根據(jù)瀏覽器的User Agent加載不同的IE漏洞利用代碼(banner.html或cookie.html)。相關代碼,如下圖所示:
頁面加載代碼
ad.html中的HTML代碼中包含有混淆后的JavaScript代碼��。相關代碼�����,如下圖所示:
ad.html中的HTML代碼
ad.html中代碼會被先后解密兩次���,最終得到漏洞調(diào)用代碼�����,根據(jù)漏洞利用代碼的調(diào)用邏輯���,我們可以粗略確認受影響的Flash版本范圍為21.0.0.180 至 31.0.0.160之間��。相關代碼���,如下圖所示:
最終執(zhí)行的漏洞攻擊相關調(diào)用代碼
漏洞被觸發(fā)后���,會調(diào)用遠程HTA腳本會從C&C服務器地址(hxxp://www.ce56b.cn/logo.swf)下載病毒數(shù)據(jù)到本地進行解密執(zhí)行�����,被解密后的病毒數(shù)據(jù)為下載者病毒。相關進程調(diào)用關系���,如下圖所示:
漏洞觸發(fā)后的進程調(diào)用關系
病毒解密相關代碼,如下圖所示:
病毒解密代碼
banner.html和cookie.html最終也會執(zhí)行類似的遠程HTA腳本最終通過相同的C&C服務器地址下載執(zhí)行相同惡意代碼��。相關代碼�����,如下圖所示:
解密遠程HTA腳本地址
漏洞觸發(fā)代碼
漏洞被觸發(fā)后���,最終被下載執(zhí)行的下載者病毒會根據(jù)C&C服務器返回的配置(hxxp://www.ce56b.cn/tj.txt)��,下載盜號木馬到本地進行執(zhí)行。存在被盜號風險的軟件包括:Steam游戲平臺���、WeGame游戲平臺、騰訊QQ��、地下城與勇士��、穿越火線、英雄聯(lián)盟。相關配置,如下圖所示:
下載者病毒配置
騰訊QQ、地下城與勇士、穿越火線游戲的盜號木馬均為Delphi編寫,通過偽造游戲登陸界面,欺騙誘導用戶輸入游戲賬號密碼���,獲取到賬號密碼會發(fā)送到遠程C&C服務器(hxxp://we.zouxian1.cn)。相關代碼,如下圖所示:
提交賬號與密碼
英雄聯(lián)盟��、WeGame游戲平臺同樣也是通過偽造游戲的登陸界面���,獲取用戶的游戲賬號和密碼��,并且賬號密碼也會發(fā)送到遠程C&C服務器(hxxp://we.zouxian1.cn)���。相關代碼�����,如下圖所示:
提交賬號與密碼
在盜取Steam游戲平臺賬號密碼 時�����,首先該病毒會釋放libsteam.dll到steam目錄下,并調(diào)用該動態(tài)庫的導出函數(shù)InstallHook 用于安裝全局鉤子。相關代碼�����,如下圖所示:
調(diào)用導出函數(shù)
該動態(tài)庫會安裝全局鉤子��,用于將自身注入到steam進程��,當注入到steam進程后SteamUI.dll中TextEntry控件相關的函數(shù),用于截取用戶的賬號密碼輸入。注入部分代碼��,如下圖所示:
安裝全局鉤子
HOOK SteamUI.dll用于截獲用戶的賬號密碼���。HOOK 相關代碼���,如下圖所示:
HOOK SteamUI.dll
被盜取的賬號��,同樣也會發(fā)送到遠程C&C服務器(hxxp://zouxian1.cn)。相關代碼��,如下圖所示:
提交賬號與密碼
三��、溯源分析
本次報告過程中獲取到的可溯源信息包括網(wǎng)馬信息和病毒相關信息���,下文分塊進行溯源分析��。
網(wǎng)馬溯源
通過對域名yyakeq.cn和ce56b.cn的溯源,發(fā)現(xiàn)上述域名分別由名為“武漢躍譜騰科技有限公司”和名為“邵東綠設空間工程設計有限公司”的公司注冊,且兩公司還注冊了至少幾千個名稱看似毫無含義�����、近乎隨機生成的域名�����,其中一些域名指向頁面包含明顯的欺詐內(nèi)容(如下圖所示)���,所以不排除這些域名是想在未來用作C&C服務的DGA(Dynamic Generation Algorithm)域名�����。
其中一個域名指向的頁面內(nèi)容
yyakeq.cn域名注冊信息
ce56b.cn域名注冊信息
部分疑似DGA域名
部分疑似DGA域名
盜號病毒溯源
通過對盜號病毒收集URL的Whois查詢,可以得到如下信息:
域名zouxian1.cn注冊信息
另外通過該域名注冊信息的聯(lián)系人和聯(lián)系郵箱反查���,此人以同樣的命名方式于2018年4月20日共注冊了15個近似域名:
域名注冊反查結(jié)果
另外,通過ICP備案查詢發(fā)現(xiàn)�����,其中部分域名還經(jīng)過了ICP個人備案:
ICP備案查詢結(jié)果
并且同日(2018年4月20日)��,此人還用同樣的QQ郵箱(2659869342@qq.com)和不同的姓名注冊了另外兩個形式與前述域名相似的域名,如下圖所示:
域名注冊反查結(jié)果
四�����、附錄
文中涉及樣本SHA256:
*本文作者:火絨安全���,轉(zhuǎn)載自FreeBuf.COM
何支持開源開發(fā)者���?捐贈還是廣告��?多個流行的 NPM JS 庫選擇了廣告��。
作者/來源: 安華金和
如何支持開源開發(fā)者?捐贈還是廣告�����?多個流行的 NPM JS 庫選擇了廣告。
core-js 的作者通過廣告推銷自己��,而 Standard 的作者則決定在安裝時展示廣告��,這些做法都引發(fā)了爭議�����。Standard 是一個 Javascript 風格指南庫,每月下載量大約 300 萬次��,開發(fā)者 Feross Aboukhadijeh 表示這是一項實驗��,旨在找到支持開源開發(fā)的可持續(xù)方法���。他表示�����,在安裝 Standard 14 會展示贊助商的信息���,贊助費用直接支付了維護時間��,包括新功能��、修正、回答用戶提問和改進文檔��。
來源:solidot.org
更多資訊
提升安全性:微軟為 Chromium Edge 推出除蟲賞金項目外媒報道稱��,微軟已經(jīng)為基于 Chromium 內(nèi)核開發(fā)的新版 Microsoft Edge 瀏覽器�����,推出了一個全新的除蟲賞金(bug bounty)項目。如果提交的安全漏洞報告的質(zhì)量足夠高���,該公司將給出高達 3 萬美金(21.4 萬+ RMB)的獎勵。
來源:cnBeta.COM
詳情鏈接: https://www.dbsec.cn/blog/article/4979.html
英國網(wǎng)絡安全機構(gòu)督促開發(fā)者淘汰 Python 2NCSC 稱�����,如果你維護了一個其他人依賴的庫�����,你可能會阻止其他人更新到 Python 3�����。如果你無法將代碼升級到 Python 3,一個選擇是付費給商業(yè)公司繼續(xù)支持 Python 2。NCSC 以勒索軟件 WannaCry 舉例說明使用不再支持的軟件會發(fā)生什么。
來源:solidot.org
詳情鏈接: https://www.dbsec.cn/blog/article/4980.html
點餐買電影票都要個人信息 數(shù)據(jù)收集引發(fā)擔憂據(jù)《南華早報》報道���,在深圳��,很多時候沒有手機應用就消費不了���,比如在餐館要掃碼點餐��。但如果你不同意分享個人信息,你就無法點餐或買電影票。數(shù)據(jù)隱私問題正日益引起公眾的擔憂。一天晚上���,王曉旭(Wang Xiaoxu,音譯)和朋友們在深圳的一家餐館吃飯,由于她拒絕通過手機分享個人信息���,點餐系統(tǒng)不讓她點餐。最后,又餓又沮喪的她和朋友離開�����。
來源:網(wǎng)易科技
詳情鏈接: https://www.dbsec.cn/blog/article/4981.html
開發(fā)者移除 11 個 Ruby 庫中 18 個帶有后門的版本RubyGems 軟件包存儲庫的維護者近期移除了 11 個 Ruby 庫中出現(xiàn)的 18 個惡意版本�����,這些版本包含了后門機制��,可以在使用 Ruby 時啟動加密貨幣挖掘程序。惡意代碼最初發(fā)現(xiàn)于 4 個版本的 rest-client 庫中��,rest-client 是一個非常流行的 Ruby 庫。
來源:開源中國
詳情鏈接:https://www.dbsec.cn/blog/article/4982.html
(信息來源于網(wǎng)絡,安華金和搜集整理)
點擊“了解更多”可訪問文內(nèi)鏈接
統(tǒng)會根據(jù)微軟商店購買及應用程序使用的記錄���,來顯示你可能感興趣的廣告。
關閉方法
依次點擊【開始菜單】【設置】【隱私】【常規(guī)】,【關閉】“允許應用使用廣告ID”。
注意:系統(tǒng)版本不同操作路徑可能略有差異���。以下同。
Cortana廣告
點擊搜索框打開Cortana,依次點擊【筆記本】【Cortana提示】���,【關閉】“提示通知”。
鎖屏廣告
依次點擊【開始】【設置】【個性化】【鎖屏界面】�����,將“背景”切換到【圖片】或【幻燈片放映】�����。
【關閉】 “在鎖屏界面上從Windows和Cortana 獲取花絮、提示等”。
通知中心廣告
桌面右下角的通知中心在顯示系統(tǒng)和應用通知之余,有時候也會顯示廣告建議��。
關閉方法
依次點擊【開始】【設置】【系統(tǒng)】【通知與操作】�����,【關閉】“在使用Windows時獲取提示���、技巧和建議”�����,還可以對應用程序關閉【獲取來自這些發(fā)送者的通知】。
開始菜單廣告
在開始菜單中右擊系統(tǒng)自動推送的應用程序�����,選擇【卸載】���。
依次點擊【開始】【設置】【個性化】【開始】���,【關閉】偶爾在“開始”屏幕中顯示建議�����。后續(xù)開始菜單將不再出現(xiàn)推薦軟件���。
動態(tài)磁貼廣告
開始菜單右側(cè)的動態(tài)磁貼,也會推送應用程序��。
關閉方法
和開始菜單一樣���,可以右擊系統(tǒng)自動推送的應用程序�����,選擇【卸載】或者選擇【更多】【關閉動態(tài)磁貼】���。
Windows Ink
Windows Ink作為一款手寫工具���,有時也會在程序界面推薦應用�����。
關閉方法
依次點擊【開始】【設置】【設備】【筆和Windows Ink】,取消勾選【顯示推薦使用的應用】���。
瀏覽器彈窗
搜索打開IE,依次進入【工具】【Internet選項】【隱私】���,勾選【啟用彈出窗口阻止程序】并點擊右側(cè)【設置】。
【添加】要允許的網(wǎng)站地址���,并設置“通知和阻止級別”,完成后點擊【關閉】并回到“Internet屬性”窗口�����,點擊【應用】并【確定】。
網(wǎng)頁廣告
禁用Cookies
以Internet Explorer 11舉例��,進入IE【工具】【Internet選項】【隱私】【高級】中設置�����。
若不想禁用,可以選擇清除Cookies
進入IE【工具】【Internet選項】【常規(guī)】【刪除】【確定】�����。
Edge網(wǎng)頁廣告
相比IE11�����,Edge支持下載第三方擴展插件來關閉網(wǎng)頁廣告���。
依次點擊Edge瀏覽器右上角【…】【擴展】【了解更多的擴展】���,跳轉(zhuǎn)進入【Microsoft Store】���,在【廣告攔截器和密碼管理器】中選擇喜歡的廣告攔截器【免費下載】安裝��。
網(wǎng)盟推廣
在需要停用的瀏覽器中打開以下網(wǎng)址【http://www.baidu.com/duty/safe_control.html】,并【選擇停用】���。
—END—
