全国多省爆发大规模软件升级劫持攻击软件劫持经典案例

不久前&＃xff0c;Petya勒索病毒变种在乌克兰爆发&＃xff0c;并蔓延到欧洲多个国家的大型企业。病毒攻击的根源是劫持了乌克兰专用会计软件me-doc的升级程序&＃xff0c;使用户更新软件时感染病毒&＃xff0c;从而对众多企业的系统和数据造成惨重损失。

劫持软件升级“投毒”并不是新鲜的攻击手法&＃xff0c;国内也屡有发生。但就在Petya勒索病毒变种轰动全球后短短数天时间内&＃xff0c;山东、山西、福建、浙江等多省的软件升级劫持达到空前规模&＃xff0c;360安全卫士对此类攻击的单日拦截量突破40万次&＃xff01;
尽管国内的软件升级劫持目前仅仅被利用流氓推广软件&＃xff0c;但是大规模的网络劫持、大量缺乏安全升级机制的软件&＃xff0c;如果再加上“商业模式”非常成熟的勒索病毒&＃xff0c;无疑会造成灾难性后果。
事件还原
IIS7网站监控可以做到提前预防各类网站劫持、并且是免费在线查询、适用于各大站长、政府网站、学校、公司、医院等网站。他可以做到24小时定时监控、同时它可以让你知道网站是否被黑、被入侵、被改标题、被挂黑链、被劫持、被墙及DNS是否被污染等等功能、更是拥有独家检测网站真实的完全打开时间、让你作为站长能清楚的知道自己网站的健康情况&＃xff01;
官方图

官方地址&＃xff1a;IIS7网站监控

近期有多款软件用户密集反映360“误报了软件的升级程序”&＃xff0c;但事实上&＃xff0c;这些软件的升级程序已经被不法分子恶意替换。
下图就是一例爱奇艺客户端升级程序被劫持的下载过程&＃xff1a;可以看到服务器返回了302跳转&＃xff0c;把下载地址指向了一个并不属于爱奇艺的CDN服务器地址&＃xff0c;导致下载回来的安装包变为被不法分子篡改过的推广程序。
此次被劫持升级程序的流行软件远不止爱奇艺一家&＃xff0c;下图就是一些由于网络劫持而出现的“假软件”。
以下&＃xff0c;我们以伪造的百度网盘安装程序 “BaiduNetdisk_5.5.4.exe”为例分析一下恶意程序的行为。

与正常的安装程序相比&＃xff0c;该程序不具备合法的数字签名&＃xff0c;并且体积较大。
通过对比可以发现&＃xff0c;两者在内容上还是有较大差别。两者只有8.7%的函数内容相同。
程序最初执行时会从从资源段中释放一个PE文件并执行&＃xff0c;该文件就是程序所伪装的正常安装包。因此&＃xff0c;该伪装程序是在运行正常安装包的同时静默安装其他推广程序。在正常安装包运行时&＃xff0c;本程序会读取bjftzt.cdn.powercdn.com站点的子目录下的一个dat文件的内容&＃xff0c;dat文件路径根据安装程序不同而不同&＃xff0c;本文分析的程序“BaiduNetdisk_5.5.4.exe”所读取的是bjftzt.cdn.powercdn.com/upc/20170329/2A7BF0576BE7380A30B8669182226FBD.dat。程序请求数据包内容
所读取的dat文件的内容
dat文件中的内容经过base64&＃43;DES加密。DES密钥经过简单加密后硬编码在程序中&＃xff0c;下图展示了DES密钥的解密过程&＃xff1a;
解密后得到的DES密钥为“eh9ji8pf”。经分析发现多款伪装程序使用同一个DES密钥。
之后程序对dat文件的内容进行base64&＃43;DES解密&＃xff0c;解密函数
解密后得到的文件内容如下图所示。不难看出&＃xff0c;文件内容为一个配置列表&＃xff0c;列表中包括多个需要推广的应用程序名称、应用程序下载链接、程序启动参数、卸载对应的注册表项等信息&＃xff1a;
之后程序会从配置列表中选取一个推广程序的下载链接&＃xff0c;下载推广程序并安装在受害者电脑上&＃xff1a;
而以上流氓推广行为完成后&＃xff0c;安装包会回归到原始的正常安装流程&＃xff0c;以此来掩人耳目。
根据360安全卫士的持续监控和拦截&＃xff0c;该劫持行为从今年3月底就已经开始出现&＃xff0c;360一直在持续跟进查杀&＃xff0c;近日来则突然出现了爆发趋势&＃xff0c;为此360安全卫士官方微博公开发布了警报。
7月4日&＃xff0c;也就是在360发布软件升级劫持攻击警报后&＃xff0c;此类攻击行为出现了一定程度下降。
根据已有数据统计显示&＃xff0c;受到此次劫持事件影响的用户已经超过百万。而这些被劫持的用户绝大多数来自于山东地区。另外&＃xff0c;山西、福建、浙江、新疆、河南等地也有一定规模爆发。
在此提醒各大软件厂商&＃xff0c;软件更新尽量采用https加密传输的方式进行升级&＃xff0c;以防被网络劫持恶意利用。