火绒安全
双十一期间,火绒对金山系部分软件仿冒其它安全软件,进行广告推广的行为开启拦截查杀( 告见链接1)。随后,火绒接到不少用户反馈,称在已经卸载金山毒霸、驱动精灵等软件的情况下,火绒依然出现相关 毒。火绒工程师与用户沟通和远程查看分析后,发现是驱动精灵在卸载时故意留下一个名为“kbasesrv”的后门程序,包含广告模块被火绒 毒。
除此之外,我们还发现该后门程序还带有执行任意可执行文件、命令行,释放推广快捷方式,结束进程,向指定窗体发送消息,拷贝文件,修改删除注册表等后门功能。后门云控配置下发时会主动规避主要省会城市(北京、上海、深圳、广州),并且也会躲避主流安全软件。上述恶意行为完全符合我们对后门程序的定义,直接影响到了用户对个人电脑的正常使用。后门程序执行流程,如下图所示:
三、 云控后门
kbasesrv后门程序会调用指定后门模块(infocenter.exe、phoenix.exe、kwhcommonpop.exe)根据云控配置执行后门指令。其中kwhcommonpop.exe由kcmppinvoker.dll调用,现行的云控配置主要用来进行软件推广;kpolicy.dll可以根据kpctrl.dll加载的云控配置调用infocenter.exe、phoenix.exe执行后门命令。以phoenix.exe为例,该后门模块可以执行的部分主要后门指令,如下图所示:
kinst.dll为金山系通用软件推广模块,可以通过根据云端推广配置推广安装指定软件。在我们下载到的推广配置中,推广策略可以静默推广金山毒霸。该推广软件安装程序为一个特殊构造的动态库,运行InstallEx导出函数后即可静默安装金山毒霸。相关配置文件,如下图所示:
六、 云控锁首
注入到浏览器中的knb3rdhmpg.dll模块会通过进程间通信的方式获取锁首配置内容,锁首功能可以通过配置文件进行控制。此配置文件可以通过云控下发更新,其中包含了不同推广渠道的锁首策略。多数的锁定策略都对北京、上海、深圳和广州大城市地区进行规避。受影响的浏览器和推广策略,如下图所示:
首页锁定
在Hook InvokeCommand方法后,如果未触发上述劫持浏览器的条件时,该模块会根据浏览器名称获取内置的字段名,以搜狗高速浏览器为例,获取内置字段“BROWSER_SOGOU”,通过进程间通信发送到“kbasesrv.exe”,从而得到锁首 址。之后便会拼接出新的启动参数,其中hash字段后面接的是浏览器路径及启动参数的hash值。创建knbhm.exe进程相关代码如下图所示:
七、 同源分析
除了在驱动精灵投放的kbasesrv目录中发现上述恶意模块,我们还在金山旗下其它软件中(例如:金山毒霸、驱动精灵、猎豹浏览器、猎豹WiFi)发现存在类似的恶意模块。以含有同名文件kwhcommonpop.exe为例,解析执行后门指令相似代码如下图所示:
摘自:https://www.huorong.cn/safe/1577158880405.html
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!