吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 43317|回复: 356
上一主题 下一主题
收起左侧

[PC样本分析] 火绒安全警报:“2345导航站”弹窗广告携带病毒 盗取QQ和多款热门游戏账号

    [复制链接]
跳转到指定楼层
楼主
火绒安全实验室 发表于 2019-4-1 04:30 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 此生长唸 于 2019-4-1 04:33 编辑

一、概述

4月1日凌晨,火绒安全团队发出警报,部分“2345导航站”首页的弹窗广告携带盗号木马,该病毒会偷取QQ、游戏平台(steam、WeGame)、知名游戏(地下城与勇士、英雄联盟、穿越火线)的账号。这是一次设计精巧、组织周密的大规模盗号行动,利用周末时间突然发起攻击,主要目标是网吧游戏用户。


火绒工程师分析,部分“2345导航站”首页右下角会弹出弹窗广告(上图红色箭头所指),该广告页面一经弹出,即可自动下载病毒,无需用户点击。病毒下载链接自动激活后,首先访问跳板网站“yyakeq.cn”(存放跳板脚本以及flash漏洞),然后再从“ce56b.cn”网站下载病毒,而盗取的QQ、游戏等账号则被上传到“zouxian1.cn”网站。

该病毒利用IE浏览器漏洞和Flash漏洞进行传播,受影响Flash控件版本从21.0.0.180至31.0.0.160。所有使用360、搜狗等主流浏览器的用户,如果其Flash控件是以上版本,都会被感染。
安装最新版“火绒安全软件”,即可彻底查杀该病毒。该病毒整个传播链条及所涉相关企业、疑似团伙嫌疑人等信息,请阅读后附的详细分析报告。


二、样本分析

近期,火绒发现2345、hao774等多个2345旗下导航站中广告内容带有漏洞攻击代码。通过分析确认,我们初步认定2345旗下导航站被投毒。广告内容涉及浏览器漏洞和Flash漏洞,漏洞代码执行后会从C&C服务器(hxxps:// www.yyakeq.cn)下载执行病毒代码,现阶段火绒发现的病毒代码内容多为盗号病毒。该漏洞攻击只针对特定的推广计费号,再联系其广告内容“高价在线回收所有网游装备/金币”,我们推断此次攻击主要针对对象主要为网络游戏人群,且针对性极强。2345导航站中相关广告内容和相关HTML代码,如下图所示:


2345导航站中相关广告内容和相关HTML代码

从页面代码看,该广告展示代码的植入也非常“奇特”,因为广告展示链接是硬编码在页面代码中的。根据web.archive.org的抓取结果,该广告展示代码应该于2019年3月25日至2019年3月28日期间首次上线,截至本报告撰写时,该代码仍然有效且漏洞和病毒逻辑仍可激活。恶意广告内容为被包含在iframe标签中的广告页面。页面嵌套关系,如下图所示:

病毒页面嵌套调用关系

tj.html中首先会默认加载ad.html利用Flash漏洞进行攻击,之后再根据浏览器的User Agent加载不同的IE漏洞利用代码(banner.html或cookie.html)。相关代码,如下图所示:

页面加载代码

ad.html中的HTML代码中包含有混淆后的JavaScript代码。相关代码,如下图所示:

ad.html中的HTML代码

ad.html中代码会被先后解密两次,最终得到漏洞调用代码,根据漏洞利用代码的调用逻辑,我们可以粗略确认受影响的Flash版本范围为21.0.0.180 至 31.0.0.160之间。相关代码,如下图所示:

最终执行的漏洞攻击相关调用代码

漏洞被触发后,会调用远程HTA脚本会从C&C服务器地址(hxxp://www.ce56b.cn/logo.swf)下载病毒数据到本地进行解密执行,被解密后的病毒数据为下载者病毒。相关进程调用关系,如下图所示:

漏洞触发后的进程调用关系

病毒解密相关代码,如下图所示:

病毒解密代码

banner.html和cookie.html最终也会执行类似的远程HTA脚本最终通过相同的C&C服务器地址下载执行相同恶意代码。相关代码,如下图所示:

解密远程HTA脚本地址

漏洞触发代码

漏洞被触发后,最终被下载执行的下载者病毒会根据C&C服务器返回的配置(hxxp://www.ce56b.cn/tj.txt),下载盗号木马到本地进行执行。存在被盗号风险的软件包括:Steam游戏平台、WeGame游戏平台、腾讯QQ、地下城与勇士、穿越火线、英雄联盟。相关配置,如下图所示:

下载者病毒配置

腾讯QQ、地下城与勇士、穿越火线游戏的盗号木马均为Delphi编写,通过伪造游戏登陆界面,欺骗诱导用户输入游戏账号密码,获取到账号密码会发送到远程C&C服务器(hxxp://we.zouxian1.cn)。相关代码,如下图所示:

提交账号与密码

英雄联盟、WeGame游戏平台同样也是通过伪造游戏的登陆界面,获取用户的游戏账号和密码,并且账号密码也会发送到远程C&C服务器(hxxp://we.zouxian1.cn)。相关代码,如下图所示:

提交账号与密码

在盗取Steam游戏平台账号密码 时,首先该病毒会释放libsteam.dll到steam目录下,并调用该动态库的导出函数InstallHook 用于安装全局钩子。相关代码,如下图所示:

调用导出函数

该动态库会安装全局钩子,用于将自身注入到steam进程,当注入到steam进程后SteamUI.dll中TextEntry控件相关的函数,用于截取用户的账号密码输入。注入部分代码,如下图所示:

安装全局钩子

HOOK SteamUI.dll用于截获用户的账号密码。HOOK 相关代码,如下图所示:

HOOK SteamUI.dll

被盗取的账号,同样也会发送到远程C&C服务器(hxxp://zouxian1.cn)。相关代码,如下图所示:

提交账号与密码

三、溯源分析
本次报告过程中获取到的可溯源信息包括网马信息和病毒相关信息,下文分块进行溯源分析。

网马溯源
通过对域名yyakeq.cn和ce56b.cn的溯源,发现上述域名分别由名为“武汉跃谱腾科技有限公司”和名为“邵东绿设空间工程设计有限公司”的公司注册,且两公司还注册了至少几千个名称看似毫无含义、近乎随机生成的域名,其中一些域名指向页面包含明显的欺诈内容(如下图所示),所以不排除这些域名是想在未来用作C&C服务的DGA(Dynamic Generation Algorithm)域名。

其中一个域名指向的页面内容

yyakeq.cn域名注册信息

ce56b.cn域名注册信息

部分疑似DGA域名

部分疑似DGA域名


盗号病毒溯源

通过对盗号病毒收集URL的Whois查询,可以得到如下信息:

域名zouxian1.cn注册信息

另外通过该域名注册信息的联系人和联系邮箱反查,此人以同样的命名方式于2018年4月20日共注册了15个近似域名:

域名注册反查结果

另外,通过ICP备案查询发现,其中部分域名还经过了ICP个人备案:

ICP备案查询结果

并且同日(2018年4月20日),此人还用同样的QQ邮箱(2659869342@qq.com)和不同的姓名注册了另外两个形式与前述域名相似的域名,如下图所示:

域名注册反查结果



四、附录
文中涉及样本SHA256:

点评

这导航站没人想用吧  发表于 2019-4-1 18:10

免费评分

参与人数 197吾爱币 +172 热心值 +174 收起 理由
zhao. + 1 谢谢@Thanks!
滑天下之大funny + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Mr.KO + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
woditian + 1 + 1 大佬厉害!
52gezi + 1 + 1 我很赞同!
缄默hl + 1 又是这个垃圾的2345,这样的公司应该倒闭了!!!
wowcoolboy + 1 + 1 鼓励转贴优秀软件安全工具和文档!
雨安 + 1 用心讨论,共获提升!
52lxw + 1 热心回复!
馍馍 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
cljjtr + 1 我很赞同!
云梦墨溪 + 1 + 1 热心回复!
廿肆 + 1 热心回复!
旧城迷梦 + 1 + 1 谢谢@Thanks!
lu_ + 2 + 1 我很赞同!
lingopr123 + 1 + 1 谢谢@Thanks!
Haskk + 1 我很赞同!
LtKid + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
杰森思密达 + 1 我很赞同!
tuTuStream + 1 + 1 用心讨论,共获提升!
初生牛犊被人煮 + 1 + 1 我很赞同!
willJ + 3 鼓励转贴优秀软件安全工具和文档!
nnq1234 + 1 + 1 谢谢@Thanks!
arslan231 + 1 + 1 我很赞同!
Lugia + 1 用心讨论,共获提升!
957320193 + 1 + 1 我很赞同!
kan7000 + 1 + 1 真想不通 这个导航网站还能屹立在互联网这么久 国家不问吗?
losseven + 1 + 1 谢谢@Thanks!
骚柒吖i + 1 鼓励转贴优秀软件安全工具和文档!
燃烧的冷漠 + 1 谢谢@Thanks!
z1871691387 + 1 + 1 热心回复!
BRZMing + 1 + 1 热心回复!
春秋冬夏° + 1 + 1 谢谢@Thanks!
cyc1307 + 1 + 1 热心回复!
jizhihaoSAMA + 1 我很赞同!
AngShiYi9765 + 1 + 1 我很赞同!
浮生→若梦 + 1 + 1 我很赞同!
lp-cg + 1 + 1 虽然浏览器强制默认改不了,但就是不用它呀
koyobaby + 1 + 1 我这里突然就是2345的弹窗广告了,也不知道该怎么弄。
moriartyo + 1 + 1 谢谢@Thanks!
河南小菲 + 1 + 1 谢谢@Thanks!
夕阳红、乐天 + 1 + 1 谢谢@Thanks!
庄周梦蝶 + 1 + 1 用心讨论,共获提升!
bakaest + 1 + 1 这些人这么够胆,不怕被告吗
Anonymous灬 + 1 + 1 谢谢@Thanks!
逝水1998流年 + 1 + 1 2345中国著名毒瘤网站
zfg123123 + 1 我很赞同!
BigOrange + 1 + 1 鼓励转贴优秀软件安全工具和文档!
q3m6s27 + 1 + 1 我很赞同!
大陆小伙操港婊 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
lw85018331 + 1 我很赞同!
bian1996 + 1 谢谢@Thanks!
sfzk + 1 谢谢@Thanks!
那个当有个疯子 + 1 谢谢@Thanks!
一牛神一 + 1 + 1 用心讨论,共获提升!
奥林阿克 + 1 + 1 用心讨论,共获提升!
疯狂的野猪 + 1 + 1 用心讨论,共获提升!
Deadromance + 1 + 1 谢谢@Thanks!
尘世迷途小书童 + 1 + 1 谢谢@Thanks!
love291325350 + 1 + 1 吾爱站大佬真的是强!
nvnv5281612 + 1 + 1 我很赞同!
加载失败 + 1 + 1 谢谢@Thanks!
a66756675 + 1 + 1 用心讨论,共获提升!
零下零一度 + 3 + 1 2345看图,火绒153次弹窗瑟瑟发抖
soyiC + 1 + 1 我很赞同!
dx916 + 1 + 1 谢谢@Thanks!
zghsgi + 1 + 1 谢谢@Thanks!
不懂破解 + 1 2345 好压瑟瑟发抖,都是灰色产业
tao2017 + 1 + 1 我很赞同!
红尘氵梦 + 1 + 1 我很赞同!
窈窕君子 + 1 我很赞同!
小小平 + 1 + 1 谢谢@Thanks!
树深时见鹿dear + 1 + 1 热心回复!
Braycep + 1 + 1 好厉害的火绒,一直在用2345看图,不知道有没有问题
qwer1193 + 1 + 1 谢谢@Thanks!
aichoupang + 1 + 1 瞻仰大佬
a8429427 + 1 + 1 谢谢@Thanks!
wanpeng + 1 我很赞同!
axislm + 1 + 1 谢谢@Thanks!
Keither + 1 + 1 我很赞同!
xiaochengQT + 1 + 1 我很赞同!
ZCAABB + 1 我不想告诉你的是我一直在用
SRong + 1 + 1 谢谢@Thanks!
darkenvan + 1 用心讨论,共获提升!
kilkilo502 + 1 这些游戏都不玩。。。
xuing + 2 + 1 火绒6666
xxxlsy + 1 + 1 热心回复!
mike.ai + 1 + 1 用心讨论,共获提升!
sdlfdl + 1 + 1 我很赞同!
bossvon + 1 + 1 我很赞同!
明月过今年 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
aisnow + 1 + 1 谢谢@Thanks!
again81 + 1 + 1 我很赞同!
xcc110110 + 1 + 1 我很赞同!
abracadabra + 1 + 1 我很赞同!
哆啦A + 1 + 1 用心讨论,共获提升!
fjzays + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
tzf1003 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Fortunate° + 1 谢谢@Thanks!
wkango + 1 谢谢@Thanks!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
xiaojiang_320 发表于 2019-4-2 15:43
江河宁夏 发表于 2019-4-1 05:50
总是感觉到2345有点象360,很好的东西,用起来让人烦恼。

反了兄弟,应该是360有点像2345,2345不知道靠什么发家的,记忆力有2345的时候就记得它是个流氓夹带一堆垃圾闯进我的电脑,开始用360的时候是周教主还没有上市的时候,那时候360的免费模式在杀软行业饱受抨击,结果现在360开始买这猫步走向邪恶,各种全家福各种弹窗,而2345则是把罪恶深渊之手伸向个人电脑防护意识差或者很差的人,我觉得两者的区别就是一个从好变坏了,一个是从坏变得更坏
推荐
latacao 发表于 2019-4-3 04:50
看到这个流氓的名字就进来吐槽两句。这样一种推广,得到这样一种臭名。让用户唯恐避让不及。不想做好自己的引擎网站。却用这样下三滥的手段来刺激推广者。结果层出不穷的流氓专门做强制用户的病毒。()
简直是无耻啊。修改浏览器首页。本人中过此类病毒不止一次了。开始还能从注册表之类的入手删除,基本都能解决。后来这一次。根本就查不到。看似清除干净,一重启就出现在所有浏览器上。
最后多亏火绒的安全工程师远程帮我解决了问题。他们专门有这么一项行动板块。清楚这样的恶意修改行为。你只要去留言求助,他们就会跟进工程师远程帮你解决问题。
最后感谢楼主分享内容。
推荐
珂あ凤谕 发表于 2019-4-1 06:49
幸好它喵哒我表弟借我CF账号时我没借喵~另外2345是时候死掉了喵,来,先去给它300G哒流量攻击(/喝酒)
推荐
草薙素紫 发表于 2019-4-4 07:42
latacao 发表于 2019-4-3 04:50
看到这个流氓的名字就进来吐槽两句。这样一种推广,得到这样一种臭名。让用户唯恐避让不及。不想做好自己的 ...

火绒真的很良心
推荐
江河宁夏 发表于 2019-4-1 05:50
总是感觉到2345有点象360,很好的东西,用起来让人烦恼。
沙发
黑龍 发表于 2019-4-1 05:09
下载了一下   看了一下流程
4#
ximendongkai 发表于 2019-4-1 06:18
说的很详细,谢谢!!
5#
wangchuanqi 发表于 2019-4-1 06:24
2345的东西都是流氓就应该全网封杀掉
6#
168qn 发表于 2019-4-1 06:26
谢谢分享,真正的好人!!!!
7#
tianao007 发表于 2019-4-1 06:41
还好,已经封杀2345
9#
xbang 发表于 2019-4-1 07:10
所有2345的东西一律不用。
10#
Wenson_lin 发表于 2019-4-1 07:20
感谢分享!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-2 04:54

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表