Check Point在最新公布的一份 告中指出,在过去的几周里,他们一直在观察一个由RIG Exploit kit分发的rootkit(一种特殊的恶意软件,一般都和木马、后门等其他恶意程序结合使用),名为“CEIDPageLock”。
利用类似于CEIDPageLock这样的恶意软件来进行浏览器劫持被证实是有利可图的,因为通过将受害者重定向到某些搜索引擎,攻击者可以从“雇主”那里拿到广告收入分成。此外,CEIDPageLock的运营者还使用了多种劫持技术来收集受害者的浏览数据——监视受害者访问的 站以及他们在这些 页上所花费的时间。因此,他们完全可以利用这些信息来为自己的广告活动选定目标,或者将这些信息出售给其他想要利用这些信息来开展营销活动的公司。
根据Check Point的全球威胁传感器 络监测威胁数据,CEIDPageLock主要针对了中国人,而在中国以外的感染数量几乎可以忽略不计。
图1.按国家和地区划分的感染数量
Dropper
dropper的主要作用是提取驻留在文件中的驱动程序,并将其保存在“\Windows\Temp”文件夹下,名为“houzi.sys”。(在旧版本中,这个驱动程序名为“CEID.sys”,该恶意软件的命名也是由此而来的)。
被释放的驱动程序拥有一个经签署的证书:
[+]浙江恒歌 络科技有限公司
[+]Thawte代码签名CA – G2
[+]thawte
尽管如此,这个证书实际上早就已经被其颁发者撤销了。
在注册并启动驱动程序后,dropper会将受感染计算机的mac地址和用户标识(user-id)发送到www[.]tj999[.]top,并带有以下标头:
“GET /tongji.php?userid=%s&mac=%s HTTP/1.1”
驱动程序
CEIDPageLock的驱动程序是一个32位内核模式驱动程序,并使用了一些技巧来规避端点安全产品。它的主要作用是连接两个硬编码的C&C服务器中的一个,以便下载篡改浏览器所需的主页配置信息。在使用以下标头时,加密的主页配置信息将从C&C服务器被下载:
图2.来自C&C服务器的主页请求的标头
解密后的主页配置信息取自588[.]gychina[.],而被劫持主页的URL为111[.]l2345[.]cn。它伪装成2345.com,实际上会在暗地里收集受害者的统计信息,并从受害者在该页面的每次搜索查询中获利。
图3.被劫持主页的视图
图4.被劫持主页的 页源代码
有关旧版本更深入的技术分析可以在360安全公司的文章中找到。下面我们将重点介绍新旧版本之间的一些差异,以及新增的功能。
新旧版本之间的差异
与旧版本相比,新版本的CEIDPageLock经过了VMProtect的打包,这使得分析和解包变得相对困难,特别是对于内核模式驱动程序来说。
图5.使用VMProtec对每一个API调用进行混淆处理的示例
图6.在url中搜索字符串,以重定向到被劫持的主页
如果在HTTP数据包中找到了其中任意一个字符串,它则会将该进程添加到“重定向进程(redirected processes)”列表中。然后,它会在每一个收到的信息中检查调用recv方法的进程是否属于该列表。如果属于,它则会将响应内容修改为111[.]l2345[.]cn页面的内容。这种方法比执行实际的HTTP重定向更加狡猾,因为浏览器中显示的URL不会发生任何改变。
图7.以从 Sohu.com重定向到被劫持的主页为例
图8. Sohu.com在进过重定向之后, 页源代码发生了改变
正如360安全公司在针对旧版本的分析中所描述的那样,CEIDPageLock会阻止浏览器访问多个与反病毒软件相关联的文件。在新版本中,CEIDPageLock的开发者为它添加了更多的此类文件。
图9.新(右图)和旧(左图)版本之间“禁止访问文件”的差异
此外,CEIDPageLock的开发者还为新版本增添了一种在360安全卫士中创建注册表项的方法,作为新版CEIDPageLock安装例程的一部分。新版CEIDPageLock会在注册表项RegistryMachineSoftwareWow6432Node360SafesafemonATHPJUMP”下设置值“0”。
图10.创建注册表项的方法
结论
乍一看,编写一个充当浏览器劫持者的rootkit,并为它采用诸如VMProtect之类的复杂保护机制,似乎有些过头了。然而,这种简单的恶意技术似乎是非常有利可图的,因此攻击者认为值得投资为其构建一个隐秘而持久的工具。
此外,虽然CEIDPageLock可能看起来只是非常复杂,且并不构成太大的威胁,但我们应该注意的是,它具备在内存操作时在受感染设备上执行代码的能力。再加上该恶意软件的持久性,使得它完全能够成为一个潜在的“完美”后门。
IOCs
www[.]tj999[.]top
42.51.223.86
118.193.211.11
MD5:
C7A5241567B504F2DF18D085A4DDE559 – 打包后的dropper
F7CAF6B189466895D0508EEB8FC25948 – houzi.sys
1A179E3A93BF3B59738CBE7BB25F72AB – 未打包的dropper
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!