欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

SSL劫持病毒木马的追踪溯源揭密小黑系列

来源:本站整理 作者:佚名 时间:2017-09-08 TAG: 我要投稿

人在做,天在看!
为了应答收集挟制,各大网站都开端启用https协定,使得靠挟制http网站闷声发大财的灰产、黑产们坐不住了,不停在探求挟制https网站的好用办法。日常事情傍边,360互联网平安中间发明了可以或许挟制https网站的歹意软件样本,该类样本不单单将常用的一些网站挟制到特定的网址导航站,还会与平安软件停止反抗。
阐发
在中歹意软件的机械中,咱们发明了二个可疑文件。一个名为“bbgeccv6”的驱动文件和一个名为“yyqg.dll”的静态库文件。
文件HASH值以下:
MD5: 62B58CF5BC11B7FC8978088953A7C6FD_ bbgeccv6
MD5: 2F2963BC8B9D0E1CC14601D61222EC77_ yyqg.dll
此中,“bbgeccv6”(文件名随机,HASH稳定)卖力启动、自我掩护等事情,“yyqg.dll”卖力注入winlogon.exe、下发节制指令给“bbgeccv6”。


经由过程360互联网平安中间的平安大数据,对这二个样本进联系干系阐发,咱们找到了原始样本——“快赞助手--QQ咭片赞空间人气”,并经由过程官网下载了其最新版本。


“快赞助手刷QQ咭片赞空间人气v2.5.0.exe”应用易说话编写,带有UPX壳。法式在运转起来以后,会向%windir%目录下开释并加载 “bbgeccv6”的随机文件名驱动文件和 “yyqg.dll”的静态库文件。
此中”yyqg.dll”应用了”BlackBone”的开源代码,该静态库被加载后会注入winlogon.exe。

”yyqg.dll”会向”dns.5**7.me”哀求TXT记载,前往最新云控服务器信息。

经由过程事前协商好的办法与哀求返来的云控服务器拼接出链接,咱们发明了该域名下的hijack列表——明文、正则表达式。

关上浏览器,随意抉择一条能婚配正则表达式的例子,好比hao.360.cn停止测试,终极会跳转到http://www.hao774.com/?38133这个域名,而hao774.com这个域名刚终极跳转到2345网址导航站。

该挟制列表名单,根本上主流的网址导航站、购物网站均被覆盖了。

为了防止堕入死轮回,在样本中咱们还看到了white名单,相符该名单列表的则不停止挟制跳转,以下图所示。

而“bbgeccv6”的随机文件名驱动文件,应用了比拟成熟稳定的免费源码SDK停止开辟。因为该SDK的API及DEMO在网上有地下,就不作深刻的具体阐发,感兴趣的可以或许自行阐发查找该SDK。从互联网上搜到的地下信息来看,应用该套成熟源码计划的歹意软件,从2014年就已经开端呈现了,也许2016年开端在中国停止推行,并且有分歧编码作风的样本呈现,应当已经在地下黑产圈子外面传播了一阵子。
溯源
一样平常样本阐发都是开味小菜,经由过程对样本阐发停止追溯,联系干系到具体的职员才是本篇文章的重头大戏。
起首,咱们晓得该样本的上线服务器域名为“dns.54***.me”,可以或许查得以下WHOIS信息,以下图所示。

经由过程付出宝可以或许查到“774***09@qq.com”以下信息,点击验证姓名,输出“冯”,恰好可以或许和注册人的拼音对上,且应用注册人德律风17190***70异样能找到该付出宝账号。

QQ信息表现以下:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载