一、概述
1.盗版软件用户和“APT攻击”我国电脑用户当中,使用盗版软件是非常普遍的现象,从盗版的Windows系统到各种收费软件的“破解版”等等。
互联网上也充斥着各种帮助用户使用盗版的“激活工具”、“破解工具”,投其所好地帮助用户使用盗版软件。但是“天下没有白吃的午餐”,除了一部分破解爱好者提供的无害的免费激活工具之外,病毒制造者也瞄准了盗版人群,他们利用提供激活工具的机会,将恶性病毒植入用户电脑。
前段时间爆发的“小马激活病毒”为例,其以系统激活工具的身份为掩护,利用其“入场”时间早的天然优势,在用户电脑上屏蔽安全软件、肆意劫持流量,危害极大。同理,许多病毒制造者病毒用PE工具箱、系统激活工具等形式进行包装,不但加快了病毒的传播速度,也加强了其隐蔽性,从而躲避安全软件的查杀。
提到APT,很多人会首先想到那些针对大型企业甚至政府部门的特定攻击或威胁,以及0day、挂马、间谍等。实际上,APT(AdvancedPersistent Threat,即高级持续性威胁),所指非常宽泛,即“通过较为高级的手段这对特定群体产生的持续性威胁”,因此针对盗版用户的病毒威胁,也在APT攻击之列。
本报告为大家揭示的病毒,就属于这类恶意威胁。该病毒在系统安装阶段 “先人一步”释放出恶意程序,并通过时间优势提前安置安全软件白名单库将病毒自身“拉白”,再通过众多功能单一、目标明确的程序相互配合,针对 “盗版操作系统用户”这一特定群体形成了持续性的威胁。
这种针对“盗版用户”的APT攻击迷惑性极强,用户很难发现恶意程序。更要命的是,即使安全软件报毒,用户通常也会认为是误报了“系统程序”从而选择放过。
2.“Bloom”病毒何以长期“幸存”?近期,火绒在一个浏览器首页遭劫持的用户现场中提取到了一组具有“锁首”功能的恶意程序,该程序会通过修改用户浏览器快捷方式的手段劫持“灰色流量”。在获取样本后,火绒便当即对其进行了查杀,因其注册的服务名将其命名为“Bloom”病毒。
随后,我们在火绒样本库中进行关联查询,发现了该病毒在互联网中流行的两个主要版本,两个版本时间相差一年,而“第一代”病毒更是在2014年就已经出现。然而,截止目前为止,国内的大部分主流安全软件仍未能有效对其进行查杀。随着我们对这组样本的分析我们发现,这组样本中每个程序功能极为单一、独立,如果仅仅通过对单个样本进行分析,并不能完整的获得该病毒的整个逻辑,从而无法认定其为恶意样本。
正是因为上述原因,使得这个病毒在安全软件的眼皮底下堂而皇之地生存了至少两年之久。
二、样本分析
“Bloom”病毒是一组通过修改浏览器快捷方式的手段劫持用户流量的恶意程序。通过火绒的“威胁情报分析系统”,我们发现该病毒通常会藏匿于以下几个路径名中:
C:\Program Files\BloomServices
C:\ProgramFiles\Supervise Services
C:\ProgramFiles\WinRAR\RARDATA
C:\Windows\Microsoft.NET\Framework\v4.0.3032018
C:\Program Files\WindowsDefender\DATA\Supervisory
观察上述路径名,我们发现该病毒通常会将自己伪装到一些常见的系统目录下,以此来蒙蔽用户,致使安全软件即使发现了该病毒,用户也会误以为是系统程序选择放过。
经过我们一段时间的追踪,我们发现在当前互联网环境中活跃“Bloom”病毒的两个版本,我们暂且称他们为“Bloom”病毒的“第一代”和“第二代”。如下图所示:
图2-1. “Bloom”病毒“第一代”(左)与“第二代”(右)概览
两代病毒都是通过名为“360.bat”的批处理脚本进行病毒相关的初始化操作。如下图所示:
图2-2. “360.bat”内容概览
“Supervisory.exe”用来注册服务,服务名为“Bloom Services”,该服务每隔一分钟就会启动“Moniter.exe”,由该程序调用“Prison.exe”将浏览器快捷方式中加入网址参数,达到其劫持用户流量的目的。其在“Prison.exe”中使用的网址如下:
l http://bd.33**38.cc–> https://web.sogou.com/?12315
l http://hao.33**38.cc-> http://www.2345.com/tg21145.htm
l http://www.33**38.cc-> https://web.sogou.com/?12242-0001
l http://bd.4**z.com/?fw -> https://web.sogou.com/?12242-0001
l http://bd.i**8.com/?fw –> http://www.2345.com/?33883
l http://hao.4**z.com/?fw -> https://web.sogou.com/?12315
l http://hao.i**8.com/?fw -> http://www.2345.com/tg21145.htm
l http://www.4**z.com/?fw -> http://www.2345.com/tg16937.htm
l http://www.i**8.com/?fw -> https://web.sogou.com/?12242-0001
由于“Prison.exe”中指向的网址是固定的,病毒作者为了增加“锁首”的“灵活性”,还为“第一代”病毒设置了更新程序“360TidConsole.exe”。每隔一分钟就会检测“Prison.exe” ,如果本地的病毒版本过旧,就会通过访问http://update.qido***ashi.com/下的“version.txt”获取最新的病毒版本。如果版本不统一,则会通过该站点下的“download.txt”获取病毒下载地址进行更新。为了增加其病毒的隐蔽性,“第一代”病毒还试图仿冒微软签名欺骗用户,如下图:
图2-3. “第一代”病毒仿冒的微软签名展示
“第二代”病毒较前者去掉了病毒的更新功能,添加了“preservice.exe”用于结束一些主流安全软件的安装程序进程。由于病毒“入场”时间早于安全软件,在与安全软件对抗的时候大大降低的技术成本。如下图:
图2-4. “preservice.exe”结束进程概览
“第二代”病毒为了绕过国内个别安全软件的查杀,每个可执行文件都加上自己的签名。如下图:
图2-5. “第二代”病毒所使用的签名
经过我们的粗略分析,我们初步找到在用户计算机上流走的“灰色流量”源头就是”Bloom”病毒,该病毒集“劫持流量”、实时更新、与安全软件对抗于一身,把用户的计算机变成了帮助病毒制造者赚钱的“肉鸡”。
三、追根溯源
通过病毒更新时使用的域名(http://update.qido***ashi.com),我们找到了与病毒相关的一个“U盘启动制作工具”——“启动大师”的官网。如下图:
图3-1. 与病毒相关的“U盘启动制作工具”官网
通过下载和简单的文件信息查看,我们发现“启动大师”所用的签名虽然已经失效,但其与“第二代”Bloom病毒所用的签名是相同的。所以我们初步推断,该病毒可能是被“启动大师”所释放。
在用“启动大师”制作了PE启动盘后,我们进入了其预设好的PE系统。“启动大师”运行效果图如下:
图3-2. “启动大师”运行效果图
在进入PE系统之后,我们发现“启动大师”的Ghost工具跃然于桌面,似乎有一种“恭候多时”的殷切。效果如下图:
图3-3. 使用“启动大师”制作的PE系统效果图
我们随即找到了该程序所在的位置,如下图:
图3-4. 与病毒相关的Ghost还原程序总览
我们在该目录下,发现了很多号称是Ghost工具的程序和一些可疑的文件,我们对如上文件展开了详细分析。
其中有三个自称是Ghost工具的文件,其中“ghost32.exe”为正常的Ghost还原工具,其余的两个“qddsghost.exe”和“ghost.exe”可能都和病毒有关,我们下面将对它们进行详细介绍。
首先,我们对“qddsghost.exe”进行了分析,发现其不但会使用命令行调用真正的Ghost还原程序“ghost32.exe”,还会在还原后系统中释放与修改首页和修改各种浏览器的收藏夹的相关文件。
“qddsghost.exe”所释放的文件都存在其资源中,资源Type(EXEFILE)_Name(AD)_Lang(0×804)是一个批处理文件(下文称“ad.bat”),其起到了整体的调度分配作用。该批处理文件内容如下:
图3-5. “ad.bat”内容总览
我们将该批处理的内容包括四个部分:
1) 浏览器“锁首”:其使用命令行修改了一些主流浏览器(360安全浏览器、QQ浏览器、2345浏览器等)的默认首页,并且进行了用户系统的注册表管理器,以防止用户修复首页。资源中包含的压缩包中包含着几种浏览器配置文件,替换配置文件后的浏览器默认首页和收藏夹就会被添加和修改。
2) 释放“首页劫持”快捷方式:Type(EXEFILE)_Name(IK1)_Lang(0×804)、Type(EXEFILE)_Name(IK2)_Lang(0×804)、Type(EXEFILE)_Name(IK3)_Lang(0×804) 三个资源都是网址链接文件,病毒调用的批处理会将他们释放到用户文件夹下的Favorites文件夹中。上述网址链接指向的推广网址如下:
l http://www.ha**9.com/?1
l http://www.ha**5.com/?1
l http://www.taobao.com/go/chn/tbk_channel/channelcode.php?pid=mm_26101802_0_0&eventid=101329
3) 释放Apache、搭建本地PHP跳转页面“黑吃黑”:其先下载 http://host.66***5.com/index3.txt 中存放的hosts文件,之后通过修改系统hosts文件将其过滤列表中的网址IP改为“127.0.0.1”(其搭建的跳转页),最后通过跳转页跳转至推广页面。
图3-6. 病毒在本地搭建的PHP跳转页面