互联网灰色产业链一角:流氓软件也挺“拼”的

概述

流氓软件作为互联网灰色产业链上的一块重要的组成部分,其增长和传播的速度也越来越快,目前国内随处可见这类强制捆绑、强制安装的流氓软件,随着这条利益链带来的巨大收益,流氓软件所使用的手段也越来越高级,这些流氓软件采用更加隐蔽、更具迷惑性、更加暴力的推广方式,用户在毫不知情的情况下就已经沦为其利益链条上的一颗棋子。

分析

更加隐蔽的通信通道

这种被一些特殊的木马程序使用的手法现在也开始出现在流氓软件上。翰海源在对捕获的样本进行分析时发现一个比较奇特的样本,该样本通过指定的百度空间、新浪博客、网易博客,和讯博客等网站进行程序自身的更新,程序使用多个固定的URL来获取更新链接。

1

2

该程序截取博客内容中的一部分作为更新链接,还有一些通过博客页面嵌入URL的方式实现隐蔽的通信:

3

这个名为“软件开发组官方博客”的页面访问量已经达1万多次。博客页面均链接至某云存储空间,软件通过这些链接获取最新的安装程序,安装程序再从一些软件或者广告联盟获取推广软件安装包。

4

安装程序会获取本地操作系统信息、安全软件状态及QQ号码等信息上传至统计服务器。

5

除了安装大量的软件之外,部分的推广程序还将修改浏览器主页为以下页面:

其中K11548207代表推广者的ID,我们可以看到在2013年左右就有部分软件被修改或替换成ID为K11548207的推广链接。

6

通过继续的分析我们发现这些程序均来自以用户名的“youlancai”的126Disk:

7

这些样本在2014年6月份上传至该网盘。

更具迷惑性的下载链接

我们经常遇到这种情况:当在下载一个软件时,下载下来后却发现只是下了一个下载器。而这些下载器也不一定就能下载你最终要下载的软件。

团队中的小伙伴在分析来自126网盘上的恶意程序时,发现126网盘上所有的程序均被指向另外的一个下载链接,于是在昨天我们在微博 翰海源安全 上也进行了预警,如下图

预警

8

如上图中要下载的****小助手V5.exe真实的下载链接被有意的隐藏,而其他所有的下载链接地址均被篡改为推广程序的地址:

被替换的程序名字叫“高速下载器”,且有正常的数字签名,该程序运行后会根据文件名的内容决定请求参数及下载后保存的文件名。

9

推广程序运行后,会根据文件名作为参数,向dl.27cha.com发送请求

http://dl.27cha.com/?id=1986785&uid=1

10

之后根据返回的json数据,决定下载界面的内容显示及程序下载地址:

11

12

下载后保存在桌面,并运行的名称为之前程序的&符号的第一部分内容,静默安装数款推广程序。
安全联盟监控乌云漏洞平台的报告,该网站可能已经被入侵篡改。

20

由于网站联系人失效,我们试图通过查询注册域名的WHOIS信息的邮箱,来联系站长。但是我们发现该注册邮箱的注册者,也对安全相关的领域敢兴趣,所以我们不确定,该网站是被攻击者攻击后篡改,还是站长本人有意为之。但不管怎样,大家在从126disk下载网盘文件的时候,要多加注意。

更“暴力”的推广手段

如果说前面几种方式的推广已经让我们防不胜防,那我们还应该看看下面的这种流氓软件推广手段。
这是我们看到流氓软件推广与利用漏洞挂马相结合的一个例子,攻击者首先入侵一个访问量比较大的网站并替换网站上的模版js文件,之后利用多个页面转跳的方式加载包含多个Flash Nday漏洞(CVE-2014-0515、CVE-2014-0497、CVE-2013-0634)利用的页面,当用户系统存在这些漏洞并访问该网站后便自动植入恶意程序,恶意程序会驻留在系统上并下载其他的推广程序,整个过程对于普通用户来说根本难以察觉,由于这些安装程序具有正常的数字签名而往往被杀毒软件放行。

被挂马的页面:

15

用来统计安装的js文件:

16

我们通过跟踪推广者使用的51La统计,发现该挂马漏洞影响至少数10万用户,根据下面的描述,如果每台电脑安装一个推广程序净赚8.2元,攻击者可能获得大几十万RMB。

18

受影响用户

19

结论

从今年8月份出现的食猫鼠病毒,再到10月份出现的跨平台的wirelurker病毒,我们清晰的看到这只黑手正伸向更多更广的市场空间,而更加尴尬的情况是这些流氓软件是作为载体很大比例来推广安全软件,而用户作为最大的受害者,不仅要遭受推广软件的骚扰和威胁,还可能需要为超额的流量费用买单。

关于本文作者

本文由翰海源安全研究团队撰写。

翰海源信息技术公司,新一代网络威胁预警领跑者。作为反APT(高级持续威胁)领域的业界知名信息安全厂商,翰海源是国内最早研发和推出APT检测类产品的厂商,也是目前国内唯一一个由设备直接捕获 到0day APT攻击的厂商。