欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

居然破坏ARK攻击杀毒软件,HTTPS劫持病毒木马恐怖升级

来源:本站整理 作者:佚名 时间:2017-09-09 TAG: 我要投稿

今朝,愈来愈多的网站开端注册证书,供给对HTTPS的支撑,掩护本身站点不被挟制。而作为对峙面的流量挟制进击,也开端将锋芒瞄准HTTPS,此中最罕见的一种办法就是捏造证书,做中间人挟制。
不久前,360宣布了《“偷梁换柱”掉包告白:HTTPS劫匪木马天天掠夺200万次收集拜访》的相干预警。克日,360互联网平安中间又发明一款名为“跑跑火神多功效帮助”的外挂软件中附带的挟制木马,该木马能够看做是以前挟制木马的增强版,其运转后加载RootKit木马驱动鼎力大举挟制导航及电商网站,应用中间人进击伎俩挟制HTTPS网站,同时还阻拦罕见ARK对象(Anti-Rootkit,检测查杀内核级木马的业余对象)运转,损坏杀软失常功效。

图1
依据咱们的数据分析,该木马不仅存在于多种外挂软件中,同时也包含于收集上传播的浩繁所谓“体系盘”中。一旦有人应用如许的体系盘装机,就等因而让电脑装机就沾染了流量挟制木马。
模块分工示意图:

图2
作歹行动:
1、停止软件推行:
法式中硬编码了从指定地点下载装置小黑记事本等多款软件:

图3
 

图4
2、损坏杀毒软件:
经由进程检测文件pdb文件名信息来检测断定Ark对象,检测到后间接停止进程并删除响应文件,如图所示检测了:PCHunter(原XueTr)、WinAST、PowerTool、Kernel Detective等,和一切固执木马同样,HTTPS劫匪也把360急救箱列为进击目的。

图5
删除杀软LoadImage回调:

图6

图7
阻拦网盾模块加载,其阻拦的列表以下:

图8
3、停止流量挟制
木马会云控挟制导航及电商网站,应用中间人进击伎俩,支撑挟制https网站

图9
中间人进击示意图
驱动挪用BlackBone代码将yyqg.dll注入到winlogon.exe进程中履行,

图10
BlackBone相干代码:

图11
yyqg.dll还会导入其捏造的一些罕见网站的ssl证书,导入证书的域名列表以下:

图12
调换的baidu的SSL证书:

图13

图14
经由进程云控节制必要挟制网站及挟制到目的网站列表:云控地点采用的是应用DNS:114.114.114.114(备用为:googleDNS:8.8.8.8和360DNS:101.226.4.6)剖析dns.5447.me的TXT记载获得的衔接:
获得云控衔接地点部门代码:

图15

图16

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载