2016.12.22   Android App > 看点     
浏览:18892

“净广大师”病毒HTTPS劫持深度分析

前些天,关于净广大师的丑闻闹的沸沸扬扬,火绒安全发现了净广大师的流氓行为并公布《“净广大师”病毒攻破HTTPS防线,劫持百度搜索流量牟利》,净广大师死不认账低级黑火绒流氓,虽然用过火绒的朋友都心知肚明,但是还是要深度分析一下净广大师的流氓行径,无论水军怎么瞎说,老殁只希望你安全。

有些朋友认为老殁发布净广大师丑闻的文章,是为了不让大家屏蔽shaoit.com的广告,老殁得告诉他,老殁发文的目的是提醒大家谨防净广大师毒害,并没有反对大家使用安全的广告过滤软件。

“净广大师”病毒HTTPS劫持深度分析

转《“净广大师”病毒HTTPS劫持技术深度分析

分析报告下载:http://pan.baidu.com/s/1gfOai0V

一、背景

近期,火绒团队截获一个由商业软件携带的病毒,并以其载体命名为“净广大师”病毒。在目前广为流行的“流量劫持”类病毒中,该病毒策略高明、技术暴力,并攻破HTTPS的“金钟罩”,让百度等互联网厂商普遍使用的反劫持技术面临严峻挑战。且该病毒驱动在”净广大师“卸载后仍然会持续加载并劫持百度搜索流量,行为及其恶劣。

我们曾在此前报告(http://bbs.huorong.cn/thread-18766-1-1.html)中进行过病毒简述,本文中我们将对“净广大师”病毒进行详细分析。

二、样本分析

在“净广大师”安装过程中,我们注意到“AdAnti.exe”进程在系统驱动目录下释放了一个隐藏的文件名为“rtdxftex.sys”的驱动。如下图所示:

图2-2、病毒驱动文件

在病毒驱动加载后,通过提取内存字符串,我们获得到了更多与病毒相关的特征信息,而且这些特征在静态状态下是无法在病毒驱动文件中提取到的。如下图所示:

图2-4、病毒解密代码

根据其代码中的解密算法还原,我们可以解密出该驱动使用的一个病毒动态库和在其内部使用的一些关键的数据,如下图所示:

图2-6、病毒数据解密

通过对病毒驱动的分析,我们发现病毒会将其解密后的动态库通过APC注入的方式注入到“explorer.exe”进程中。如下图所示:

图2-8、APC注入代码(1)

图2-10、百度被病毒劫持

通过分析得知,该病毒是通过代理的方式,以中间人攻击的形式来劫持HTTPS流量。如下图所示,病毒驱动注入到explorer.exe进程的代码会监听10100端口。微博@老殁

图2-12、中间人攻击示意图

通过对该病毒注入explorer的动态库进行分析,发现在该动态库资源中,我们可以看到病毒”劫持”所用到的SSL证书。如下图所示:

图2-14、explorer.exe进程内存字符串

在将上述内存中的证书数据保存为证书文件后,将其与病毒劫持证书进行对比,两者的根证书与子证书完全一致。如下图所示:

图2-16、被劫持现场中显示的劫持证书(中为根证书、右为子证书)

三、同源性分析

通过在火绒样本管理平台中搜索“净广大师”病毒使用的百度计费ID“93718154_hao_pg”,我们得到了少量关联样本。如图所示:

图3-2、带有推广号“93718154_hao_pg”的病毒样本

通过分析,我们发现这些样本与之前截获的“净广大师“病毒样本具有极高的同源性,且火绒已全部检出。同时,我们也从VirusTotal上查到友商对该病毒的检出结果。如图所示:shaoit.com

图3-4、该病毒家族以往样本数据

通过上图我们可以看出,无论是病毒的数据特征,还是病毒工程的编译路径都显示该家族的所有病毒样本与“净广大师“病毒一样,都出自同一个人。根据我们收集到样本时间来看,近段时间以来该病毒正在不断地进行迭代更新。从最早期样本运行时会产生日志,再到后来使用多个推广计费号劫持百度搜索,到最后现在版本将病毒数据和病毒动态库以加密方式存放在驱动镜像中。随着病毒的不断迭代,病毒的复杂程度正在不断提升。

四、附录
文中涉及样本SHA1:wolege.com

文件名
SHA1
e06f337bd7512d5f278c8d064356f480b943bd19
25670f556ee4fd376164dcb43cf06ae1bad26dd5
TdxFlt_amd64.sys
ebe3aa18a2b62bfab7fb09b078f6f00c3f8525b1

“净广大师”病毒同源样本SHA1:shaoit.com

病毒名
SHA1
03386c58c4d80522246a4e39e10f99fd31ec8a77
03ac723bcf44a8315390a02cc2793b15e698d4aa
Rootkit/NetSec.a
03f0bedd48d7a6b4f0c13753148042f0b651e828
047a841a77a21adc21d36050d6f6ef6113f3c824
Rootkit/NetSec.a
09fbef91d17b722a1fa5abcd26e5e8fe7d783cdc
0a350ca15112db2aae421c38579485f478e6b13a
Rootkit/NetSec.a
0aa4a878867a572c9ef4944a55f6e1bada1dddf5
0c8c66abc446ad15cdd2a9ac24f5d5fae74072cf
Rootkit/NetSec.a
11b0047f26a4f54e5e0268a6d8bd2fa386b3b482
12a2b07c1a2588fc0faf42c70cdc0d8b1d21ce51
Rootkit/NetSec.a
143e5e6c00d511b1178ddbc08877c531c296e0f2
1573ccdd3784691f0c17eda6027da5ce123841b2
Rootkit/NetSec.a
1868141e109d391fc34d8f586ae02b916cae4644
1de1300423b05c206b5062a9003e56951479e198
Rootkit/NetSec.a
1def02236c71777d1fefcf6cdfcde1e322b763d0
243494bbac4b50587cc7d227b9f6a03c0343893a
Rootkit/NetSec.a
248884105ea5291972ad6c6e8a75941b59c3334a
26319f416b0416ba48c828115d369f1efa64b8f9
Rootkit/NetSec.a
27b459c686b0a40bd12ba8ed1316e3126eb9e9d2
27d8512fd7da189f649eff2cd0274a406405620b
Rootkit/NetSec.a
289ad9787b6b06ab46007e46e4b7954e0d8a476c
2e1c56b39b6db506a53a05c4ee8270ec48257e33
Rootkit/NetSec.a
2f5a9fc32567140253bf49153b22cf5c868ed06e
3470f3b06f387bb7bb55459c0786f6ed512e926d
Rogue/NetSec.gen
0a1655d06ed5a6550b495df627cd76bd0ab046ff
0c9226676127709d032cff8c695c14abba49c3cf
Rogue/NetSec.gen
177f5703f4ba8c146e955b5bdfe6860d4cb4f7f1
1fb098637af04af4b7f7cd4bf3521d8d0d1f716c
Rogue/NetSec.gen
25670f556ee4fd376164dcb43cf06ae1bad26dd5
25822c34eabe5c1a0d1051a1836f5b50196c7f08
Rogue/NetSec.gen
297b687805f31cde2be0d55e7ec25acfdbd9a02c

老殁结语

净广大师的流氓,火绒安全的干净纯粹,明白人自然都明白。
至于净广大师瞎黑火绒“偷偷下载手机助手、游戏”的公告,已经成为经典的二逼文案。

🐧 Q Q 群
💌 失 效 反 馈
♻️ 账 号 权 限
👍 点 赞 支 持

相关推荐

发表评论

账号权限在注册前已写明
  1. 简单的说 119.97.146.57 Win7 Chrome 51.0.2704.106  Δ11楼 2016-12-29 11:16:27
    都再用,但是暂时没发现净网大师病毒的缺点,我一直把这病毒忽略了···不知道有啥影响,国外的一款软件屏蔽广告的,也还不错,但是在国内不好用
    • qwewqe 183.56.172.53 Win10+ Chrome 50.0.2661.102  ∇地下1层 2017-01-17 12:20:52
      净广大师不是净网大师吧
  2. 安静的美男子 119.97.146.48 Linux Chrome 37.0.0.0  Δ12楼 2016-12-26 19:26:11
    净广大师没用过,火绒倒是用过,不过没弄明白,老殁一提到火绒就两眼放光,感觉跟老殁自己来发的一样,百般呵护,推广。
  3. hoobl 119.97.146.49 Win10+ Chrome 50.0.2661.102  Δ13楼 2016-12-26 10:24:00
    百度个辣鸡,作恶太多。
  4. FB2000 122.226.182.74 Win10+ Chrome 47.0.2526.108  Δ14楼 2016-12-25 3:11:40
    不看不知道一看吓下跳

您必须 [ 登录 ] 才能发表留言!(因假邮箱IP、攻击泛滥,暂时停止游客评论)