hao123恶意代码样本分析报告与防护方案

近日,百度旗下网站http://www.skycn.net/http://soft.hao123.com/被爆出用户在该网站下载软件时会被植入恶意代码。此恶意程序作为流量劫持者的初始执行程序会将恶意样本静默安装并且会以特定参数启动,生成的恶意程序将和远程C&C服务器进行通信并且获取对用户流量的劫持策略配置。

百度官方也于近日发布消息承认此事件,并且告知用户受感染的下载链接已经全部替换。

相关链接:

http://finance.sina.com.cn/roll/2017-03-03/doc-ifyazwha3712971.shtml

http://weibo.com/hao123gf?topnav=1&wvr=6&topsug=1&is_hot=1#1489972796097

传播与感染

样本通过hao123下载器绑定安装,至发稿时间为止,hao123方面已将所有受感染的下载器链接地址替换。

样本分析

文件结构

文件列表如下表所示:

文件名 MD5 功能简介
nvMultitask.exe B5FF8DB8147ADC713FE41ECDF051CAC2 初始样本
HSoftDoloEx.exe 4E3E22596DADD1460EE3985E6F727419 样本主程序
bime64.dll 9AFE0A70AD92E5F4419ECE76222E029A 通过注入启动的样本主程序,和备用C&C服务器通信并传递更多信息。
bime.dll B5FF8DB8147ADC713FE41ECDF051CAC2 Bime64.dll的x86版本
MsVwmlbkgn64.sys 24EDD5CF77A38DCF00781D45BFB06F62 本地修改需要劫持的流量包
MsVwmlbkgn.sys CB6266DF7E8E0B1D3FF93C1ACEF9EB79 MsVwmlbkgn64.sys的x86版本

主要功能

样本文件通过被植入的恶意代码运行并生成,可以通过云端与远程的劫持者C&C服务器进行通信,用来劫持用户的导航网站,电商网站等流量信息。具体内容如下:

  • 设置启动项:样本设置指向自身的启动项,便于在机器重新启动后再次执行;
  • 下载与更新恶意样本:样本连接远程服务器下载或更新自身,确保自身可以持续为攻击者服务;
  • 流量劫持:样本会劫持用户流量到推广导航站,为攻击者谋取利益;
  • 随机性隐藏: 样本根据既定概率取随机数来判断自身是否执行恶意行为,加大用户发现异常的难度,提升自身的隐蔽性;
  • 反杀软: 样本可以统计用户计算机中安装杀毒软件的数目与种类并上报至远程C&C服务器,由攻击者决定是否还要持续对用户的控制。

样本分析如下:

  1. 原始样本

如下图所示,样本首先从资源中释放所有恶意样本模块,并以安装参数执行主程序:

在安装完成后,会删除自身:

  1. 生成样本

如下图所示,样本会在install参数下运行,并且自动访问远程服务器请求更新样本:

样本用于下载更新的get请求等同于远程C&C服务器发送包含自身信息的上线注册宝,表示自己已被感染,部分参数解析如下:

参数 含义
ver 当前使用的HSoftDoloEx.exe版本号
os 感染者操作系统版本,1为windows xp
safe 感染者的安全等级评分,如果没有安装任何该样本能识别的安全软件,则此项为0;否则此项为各安全软件的权值之和
ie 感染者的IE版本号
flash 感染者的flash player版本号

样本通过创建系统服务的方式设置启动项,该启动项负责在用户重新启动计算机后将bime.dll注入系统进程以及下载新版本的样本。

除此之外,样本还将访问ntdl.php下载控制指令的配置文件:

如下图所示,下载得到的指令将提取关键字进行处理和解析:

上图展示部分为劫持指令,以rand参数所设置的数字作为概率值,根据此概率使得用户对urldst地址的访问需通过urlsrc的引导,以此来达到劫持用户流量的目的。

  1. dll

在该部分,样本的行为模式与主程序类似,不同的是该样本是注入到系统进程中执行的,而且C&C服务器也有所变化。

首先样本判断自身目前所处进程:

向另一C&C服务器“service.123juzi.com” 发送自身信息作为上线标识:

网络行为

样本和远程C&C服务器service.123juzi.com或者update.qyllq.com进行通信, 以更新自身和接受流量劫持方案的配置指令。

启动方式

样本会在主机重新启动之后自动执行,导致自动执行的设置如下:

设置名为LcScience的系统服务,随系统启动而执行。

攻击定位

如下图所示,通过对该样本的网络行为进行简单的跟踪,发现域名update.qyllq.com [180.150.189.76]与域名service.123juzi.com [106/75/74/188] 分别位于北京和上海。

防护方案

  1. 用户自我检测

  • 检查注册表HKLM\SYSTEM\CurrentControlSet\Service 下是否存在以下键:

LcScience

msxconfig

WaNdFilter

  • User目录及其子目录下是否存在名为HSoftDoloEx的文件夹。

选择删除相关文件可以有效清理该恶意样本。

2.绿盟科技木马专杀解决方案

绿盟科技针对该木马可以向客户提供专门的中、长期服务:

  • 中期服务:提供3-6个月的风险监控与巡检服务(IPS+TAC+人工服务)。根除风险,确保事件不复发。
  • 长期服务:基于行业业务风险解决方案(威胁情报+专业安全服务)

总结

作为流量劫持工具,样本发展出了更加智能和隐蔽化的攻击方式,它可以根据攻击者所定义的参数而指定流量劫持概率的攻击方法是不易被用户发觉且毫无规律的。虽然该样本在躲避沙箱和杀毒软件方面没有更高的建树,但依旧可以将其作为一个具有一定规模及危险性的威胁来看待。

 

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

Spread the word. Share this post!

Meet The Author

Leave Comment