|
|
|
联系客服020-83701501

木桶效应:由搜狐影音广告被挂马引发的思考

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
木桶效应:由搜狐影音推广被挂马激起的考虑

0x00 事务原由

从5月尾入手下手,3六0云安全琐细监测到一个名为“中国插件同盟”的下载者木马感化量暴涨。令人匪夷所思的是,该木马的下载通道竟然是多款用户量上万万致使过亿的播放器客户端。

开初,咱们怀疑这些播放器的降级文件被木马进行了网络挟制。经过对木马下载重灾区搜狐影音的阐发,咱们发现搜狐影音对网络下载的运行代码做了残缺性 校验,但并不有对安全性做校验,比喻署名信息等,确切或是被挟制降级种木马。不过从数据阐发示意,这一波操纵播放器下载的木马分布在全国一致地域、一致运 营商,基础或是扫除网络挟制的可能性。

真正的题目出在哪里呢?咱们在网友回响中找到“中国插件同盟”的受害者,分割受害者在切实环境中查找线索,力求从根源上中止该木马的撒布,而不但仅 是查杀掉木马。对受害用户调查示意,中招电脑上的搜狐影音经过官方渠道安置,本身不有绑缚木马;在此次中招前或是大约一个月光阴内,电脑也不有执行过可疑程 序。那么最大的可能性等于,搜狐影音被第三方挂马了!

经过重点监测和测执行证,咱们发此刻搜狐影音客户端展现的一个私服推广页面,带有IE远程代码执行裂痕(CVE-201四-六332)的挂马代码,或是操纵搜狐影音去执行木马代码。

进一步调查证实,中招电脑绝大少数为XP琐细,多数是不有打补钉的Win七、Win八琐细;搜狐影音的挂马则来自第三方推广同盟,这也是有多款播放器成为挂马通道的紧急原因。

因为杀毒软件对浏览器进程防护对照严密,即使裂痕被触发,一般也能包管挂马侵犯不会逃逸。但对于播放器等或是加载网页推广的其它客户端,则成为泛滥杀软的防护盲区。挂马侵犯经过客户端推广触发,用户只要发起播放器即可能中招。

因为播放器挂马非常隐蔽且行踪不定,受影响播放器的用户量又非常宏大,为此3六0安全卫士疾速降级增进了对播放器等客户端的防挂马支持,以应对流行 软件引入第三方模式带来的安全隐患。从六月1日至六月25日,3六0对播放器挂马的阻拦量累计已达到353七四0六次,这也是本年以来国内最大领域的木马 侵犯事务。

enter image description here

搜狐影音执行木裂痕本

enter image description here

图:3六0阻拦播放器挂马

0x01 侵犯事理

此次播放器挂马侵犯,操纵的是201四年公然的IE神洞CVE-201四-六332,裂痕原由是VBScript捏造机中的一个整型溢出,具体触发 事理在此略过,网上已有许多具体阐发。哄骗IE内核做页面展现的软件,假定挪用到了VBScript,均可能触发这个裂痕。其余因为该裂痕是在XP停服之 后公然的,XP琐细将永恒受到此裂痕影响。

enter image description here

侵犯事理图

0x02 案例阐发

咱们阐发了搜狐影音被侵犯的过程,国内还有一些出名软件具备异样题目,搜狐影音则是第一波大领域侵犯时木马操纵的客户端。 首先,搜狐影音在其内部退出了WebBrowser的支持,哄骗的内核是琐细的IE内核,经过这个内核来展现页面模式和推广:

enter image description here

搜狐影音的主界面以及展现的推广

琐细的IE内核支持对VBScript的阐发,并挪用到了VB捏造机,假定经过WebBrowser阐发的页面中具备vbs脚本,脚本就会交给VB捏造机执行。

enter image description here

搜狐影音客户端页面内展现的推广,有一所有来自推广同盟和各类营销平台:

enter image description here

阐发发此刻一个被展现的私服推广页面中,被拔出了一个恶意的iframe标签,标签模式带有一段vbs脚本:

enter image description here

经过对脚本进行解密,发现此中包含了六332裂痕操纵代码,这段代码是由网上公然的一段poc更换而来。

enter image description here

终极,告捷操纵SHRes执行侵犯脚本,经过cmd写入一个vbs脚本执行:

enter image description here

在对侵犯代码的阐发中,咱们发现至少包含了这两种侵犯脚本:

enter image description here

enter image description here

0x03 PlayLoad阐发

脚本执行以后,会从指定url下载一个可执行文件执行,下载的这个可执行文件是一个叫“中国插件同盟”的下载者。它会持续下载一个下载者、一个远控 木马和少量安置包到当地,新下载的下载者持续下载安置包,组成连环幽静践诺之势(可怜的用户电脑呀),被践诺的软件包含瑞星、颜色看看,语音朗读小说浏览 器,六1一键发起,护眼神器,武汉网知力,美图浏览,天天9块9(有二次践诺)等。

enter image description here

图:中招电脑惨不忍睹

远控木马则经过一系列才能暗藏本人,同时操纵注册表写入供职,使远控木马开机自觉起。

enter image description here

图:播放器挂马举止链

[via@drop wooyun] 注:文章系授权转载,请勿在未获取乌云常识库授权的环境下转载本文。

91Ri.org:想起乌云的一个案例《我是如何黑掉网易首页的》,跟本次必由之路,从这里咱们再一次见证了一个定义:安满是一个集团,包管安全不在于强大的中央有多强大,而在于真正亏弱的中央在哪里。

数安新闻+更多

证书相关+更多