欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

破坏ARK攻击杀软HTTPS劫匪木马暴力升级

来源:本站整理 作者:佚名 时间:2017-09-01 TAG: 我要投稿

最近,愈来愈多的网站开端注册证书,供给对HTTPS的支撑,掩护本身站点不被挟制。而作为对峙面的流量挟制进击,也开端将锋芒瞄准HTTPS,此中最罕见的一种办法就是捏造证书,做中间人挟制。
不久前,360宣布了《“偷梁换柱”掉包告白:HTTPS劫匪木马天天掠夺200万次收集拜访》的相干预警。克日,360互联网平安中间又发明一款名为“跑跑火神多功效帮助”的外挂软件中附带的挟制木马,该木马能够看做是以前挟制木马的增强版,其运转后加载RootKit木马驱动鼎力大举挟制导航及电商网站,应用中间人进击伎俩挟制HTTPS网站,同时还阻拦罕见ARK对象(Anti-Rootkit,检测查杀内核级木马的业余对象)运转,损坏杀软失常功效。

依据咱们的数据分析,该木马不仅存在于多种外挂软件中,同时也包含于收集上传播的浩繁所谓“体系盘”中。一旦有人应用如许的体系盘装机,就等因而让电脑装机就沾染了流量挟制木马。
模块分工示意图:

作歹行动
1、 停止软件推行:
法式中硬编码了从指定地点下载装置小黑记事本等多款软件:


2、损坏杀毒软件:
经由进程检测文件pdb文件名信息来检测断定Ark对象,检测到后间接停止进程并删除响应文件,如图所示检测了:PCHunter(原XueTr)、WinAST、PowerTool、Kernel Detective等,和一切固执木马同样,HTTPS劫匪也把360急救箱列为进击目的。

删除杀软LoadImage回调:


阻拦网盾模块加载,其阻拦的列表以下:

3、停止流量挟制
木马会云控挟制导航及电商网站,应用中间人进击伎俩,支撑挟制https网站

驱动挪用BlackBone代码将yyqg.dll注入到winlogon.exe进程中履行,

BlackBone相干代码:

yyqg.dll还会导入其捏造的一些罕见网站的ssl证书,导入证书的域名列表以下:

调换的baidu的SSL证书:


经由进程云控节制必要挟制网站及挟制到目的网站列表:云控地点采用的是应用DNS:114.114.114.114(备用为:googleDNS:8.8.8.8和360DNS:101.226.4.6)剖析dns.5447.me的TXT记载获得的衔接:
获得云控衔接地点部门代码:



应用Nslookup查问dns.5447.me的TXT记载也和该木马剖析拿到的成果同等:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载