初步披露了基于域名bjftzt.cdn.powercdn.com的一组大规模软件升级劫持事件。在这个事件的第一阶段中,用户尝试升级若干知名软件客户端时,HTTP URL会被劫持,实际下载得到的是“加料”的恶意软件。在第二阶段中,恶意软件会在表面上正常安装知名软件客户端的同时,另外在后台偷偷下载安装推广其他软件。
另外特别需要指出的是, 7月3日晚间公开批露了本轮大规模软件升级劫持情况之后,主力域名bjftzt.cdn.powercdn.com的访问量虽然下降到了高峰期的1/10,但并没有完全停止劫持行为,在过去的这个周末期间,平均每天仍然有高达400万次活跃访问,大约是蠕虫WannaCry爆发期间活跃程度的100倍。对我们的互联 用户来说,这一安全威胁仍然存在且严峻。这也促成我们更新本篇文章,继续批露这一系列软件升级劫持行为。
在本篇文章中,我们将继续运用更多维度的数据,主要讨论以下内容:
· 事件发展时间线
· 事件的主角:bjftzt.cdn.powercdn.com
· 极早期感染情况
· Powercdn.com上的其他域名
· 应对措施
事件发展时间线
360安全中心综合运用了各种数据手段,包括蜜罐、沙箱、云安全数据、DNS数据流等等,还原出本次软件升级劫持事件的相关时间线如下:
· 3-27 域名bjftzt.cdn.powercdn.com 于当日17:22:55上线;当日360安全卫士在样本库未更新前提下实现阻断,并产生告警;
· 03-29 域名dbjftzt.cdn.powercdn.com 上线;
· 03-30 当日18:30附近域名流量发生跳变,标志极早期结束,距域名上线几乎恰好72小时
· 04-02 bjftzt.cdn.powercdn.com域名相关样本被360安全中心首次捕获;
· 05-01 bjftzt-cdn-powercdn-com.powercdn.cn 进入流行程度Top 100万域名榜单;
· 06-07 dbjftzt-cdn-powercdn-com.powercdn.cn 进入流行程度Top 100万域名榜单;
· 06-19 bjftzt-cdn-powercdn-com.powercdn.cn 进入流行程度Top 10万域名榜单;
· 06-19 样本49cff46088790b360c6d2215c62dd4a0被提交到virus total;
· 07-02~07-05 bjftzt-cdn-powercdn-com.powercdn.cn流行程度顶峰,排名 63028;
· 07-05 安全卫士发布 告,批露这一大规模劫持情况;
· 07-06 所有相关域名流量骤减,约为高峰时期1/10;
· 07-07~2017-07-09 周末期间域名流量维持在高峰期1/10附近,未见继续下降。
需要指出的是,互联 发展到今天,头部站点已经相对稳定。想要一个域名的流程程度进入Top10万榜单,并不是那么容易。一个域名,从冷启动开始,3个月内爬升到进入Top10万榜单,这种爬升能力,值得引起安全分析人员的特别注意。
关于域名bjftzt.cdn.powercdn.com
360安全中心从以下角度对该域名展开分析
· 第一阶段:该域名下的URL
· 第二阶段:该域名下的dat软件升级配置清单
· 该域名的访问情况
· 该域名的关联IP地址 106.15.34.166
第一阶段:该域名下的URL
在第一阶段中,用户请求了一个正常的软件安装HTTP URL时,会被HTTP 302跳转,指向下面两组URL:
我们共收集到该域名下的URL共计243个,部分列出如下。通过分析,我们归纳得出结论,该域名下的所有URL,无一例外,全都与本次软件劫持事件相关。详细URL见附件列表。
第二阶段:该域名下的dat软件升级配置清单
恶意软件已经被安装到用户机器上后,开始第二阶段。在这个阶段中,恶意软件访问该域名下的某个dat配置文件,并使用密钥“eh9ji8pf”做DES展开,得到明文的应用软件下载列表。恶意软件会依次继续下载列表中的软件,以实现恶意分发软件的目的。
这些配置文件的下载链接当前已经失效,无法下载。但是得益于我们的蜜罐和沙箱,我们得以部分的从历史数据中恢复这些配置文件,并回溯这些配置文件的变化过程。我们一共可以得到dat相关的URL共计182个;能够恢复的dat文件去重后有60个。
Dat文件的下载URL遵循下面两种模式:
部分URL部分列举如下:
后一种模式中包含了一个日期字符串。这个串在不同URL之间的分布如下:
解释如下:
· 向bjftzt.cdn.powercdn.com请求c.dat,获得待推广软件列表
· 向106.15.34.166 请求/ddrept, 告客户端状态
· 向 cd001.www.duba.net 请求下载kbasesrv_setup170309_0_0.exe,推广了一个软件
· 向106.15.34.166 请求/ddrept, 告客户端状态
· 向 cd001.www.duba.net 请求下载qqgame_u44036888.exe,推广了第二个软件
以上是按顺序访问c.dat中的前面两个软件item。我们在其他案例中见到下载过三个软件item的情况,并且猜测,如果不是因为沙箱运行时间终止,恶意软件也许会依次下载后续所有的其他item。
上面提到的配置文件bjftzt.cdn.powercdn.com /down/p/822DD7B25E410767E844E4B886408FB5/c.dat的密文如下:
之前文章中提到,这是一个DES+BASE64编码的文件。使用密钥“eh9ji8pf”展开,并且将得到的xml文件格式化,如下:
在这个案例中,多个知名软件的渠道推广安装包被打成一个包,命名为kq3_822DD7B25E410767E844E4B886408FB5_20170608,集中推广下载。仔细观察配置项,往往还能看到很多静默安装的选项。我们观察到的总样本超过600个,涉及60个不同的pkg,16个不同的软件item。
上述样本在vt上的参考链接如下:
https://www.virustotal.com/zh-cn/file/33de966aeb30bf371c5a363564cfd2cd1427a8304e39860917f29e52afdcc46d/analysis/
以上过程中涉及到多个角色,集中列出如下:
· bjftzt.cdn.powercdn.com,事件的主角,第一阶段劫持的受益者,第二阶段软件推广的发起者;
· dat文件,来自bjftzt.cdn.powercdn.com,软件推广配置文件,有pkg名称;由item组成,dat内的不同item,看起来是按顺序依次下载的;
· item,来自dat文件,指明了下载链接、安装选项、运行选项。通常是知名软件的客户端,但也有少量恶意软件;
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!