劫持软件升级“投毒”并不是新鲜的攻击手法,国内也屡有发生。但就在Petya勒索病毒变种轰动全球后短短数天时间内,山东、山西、福建、浙江等多省的软件升级劫持达到空前规模,360安全卫士对此类攻击的单日拦截量突破40万次!
尽管国内的软件升级劫持目前仅仅被利用流氓推广软件,但是大规模的 络劫持、大量缺乏安全升级机制的软件,如果再加上“商业模式”非常成熟的勒索病毒,无疑会造成灾难性后果。
事件还原
近期有多款软件用户密集反映360“误 了软件的升级程序”,但事实上,这些软件的升级程序已经被不法分子恶意替换。
下图就是一例爱奇艺客户端升级程序被劫持的下载过程:可以看到服务器返回了302跳转,把下载地址指向了一个并不属于爱奇艺的CDN服务器地址,导致下载回来的安装包变为被不法分子篡改过的推广程序。
图2 被 络劫持替换的“假软件”
以下,我们以伪造的百度 盘安装程序 “BaiduNetdisk_5.5.4.exe”为例分析一下恶意程序的行为。
与正常的安装程序相比,该程序不具备合法的数字签名,并且体积较大。
图4 正常的安装程序
通过对比可以发现,两者在内容上还是有较大差别。两者只有8.7%的函数内容相同。
图6 请求数据包内容
所读取的dat文件的内容如下图所示:
图8 DES密钥解密过程
解密后得到的DES密钥为“eh9ji8pf”。经分析发现多款伪装程序使用同一个DES密钥。
之后程序对dat文件的内容进行base64+DES解密,解密函数如下图所示:
图10 解密后的dat文件内容
之后程序会从配置列表中选取一个推广程序的下载链接,下载推广程序并安装在受害者电脑上:
图12 络劫持量走势
根据已有数据统计显示,受到此次劫持事件影响的用户已经超过百万。而这些被劫持的用户绝大多数来自于山东地区。另外,山西、福建、浙江、新疆、河南等地也有一定规模爆发。
图13 被劫持用户地域分布
在此提醒各大软件厂商,软件更新尽量采用https加密传输的方式进行升级,以防被 络劫持恶意利用。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!