I. Genel Bakış
1 Nisan sabahının erken saatlerinde, Tinder güvenlik ekibi bir uyarı yayınladı. "2345 Navigasyon İstasyonu" ana sayfasındaki bazı açılır reklamlarda bilgisayar korsanlığı Truva atları bulunuyordu. Virüs, QQ, oyun platformları (steam, WeGame) ve tanınmış oyunları (Dungeon ve Warriors) çalabilirdi. League of Legends, Cross Fire) hesabı. Bu, iyi tasarlanmış ve iyi organize edilmiş büyük ölçekli bir hesap hackleme operasyonudur.Saldırı hafta sonu aniden başlatılmış ve ana hedef İnternet cafe oyun kullanıcıları olmuştur.
Tinder mühendisi, bazı "2345 Navigasyon İstasyonu" ana sayfasının sağ alt köşesinde bir açılır reklamın (yukarıdaki kırmızı okla gösterilen) açıldığını analiz etti.Reklam sayfası açıldığında, virüs kullanıcının tıklaması olmadan otomatik olarak indirilebilir. Virüs indirme bağlantısı otomatik olarak etkinleştirildikten sonra, ilk olarak "yyakeq.cn" sıçrama tahtası web sitesini ziyaret edin (sıçrama tahtası komut dosyalarını ve flash güvenlik açıklarını saklayın) ve ardından virüsü "ce56b.cn" web sitesinden indirin ve çalınan QQ, oyun ve diğer hesaplar "Zouxian1.cn" web sitesi.
Virüs, yayılmak için IE tarayıcı güvenlik açıklarını ve Flash güvenlik açıklarını kullanır Etkilenen Flash kontrol sürümü 21.0.0.180 ile 31.0.0.160 arasında değişir. 360 ve Sogou gibi genel tarayıcıları kullanan tüm kullanıcılar, Flash kontrolleri yukarıdaki sürümdeyse virüs bulaşacaktır.
Lütfen virüsün tüm bulaşma zinciri, ilgili şirketler, şüpheli çete şüphelileri ve diğer bilgiler için ekli ayrıntılı analiz raporunu okuyun.
2. Örnek analiz
Son zamanlarda Tinder, 2345 ve hao774 dahil olmak üzere 2345in navigasyon istasyonlarının reklam içeriğinin güvenlik açığı saldırı kodları içerdiğini keşfetti. Analiz ve doğrulama yoluyla, 2345'in altındaki navigasyon istasyonunun zehirlendiğini önceden belirledik. Reklam içeriği, tarayıcı güvenlik açıklarını ve Flash güvenlik açıklarını içerir. Güvenlik açığı bulunan kodun çalıştırılmasından sonra, virüs kodu CC sunucusundan indirilecektir (hxxps: //www.yyakeq.cn) Bu aşamada, Tinder'da bulunan virüs kodu içeriğinin çoğu virüsleri hacklemektedir. Güvenlik açığı saldırısı yalnızca belirli bir promosyon fatura numarasını hedefledi ve ardından reklam içeriğiyle bağlantı kurdu "Tüm çevrimiçi oyun ekipmanlarının / altın paraların yüksek fiyatlı çevrimiçi kurtarılması", bu saldırının esas olarak çevrimiçi oyun kalabalığını hedeflediğini ve hedefinin yüksek olduğunu belirledik. Aşağıdaki şekilde gösterildiği gibi 2345 navigasyon istasyonundaki ilgili reklam içeriği ve ilgili HTML kodu:
2345 navigasyon istasyonunda ilgili reklam içeriği ve ilgili HTML koduSayfa kodundan, reklam görüntüleme kodunun yerleşimi de çok "tuhaftır", çünkü reklam görüntüleme bağlantısı sayfa koduna sabit kodlanmıştır. Web.archive.org tarama sonuçlarına göre, reklam görüntüleme kodunun ilk kez 25 Mart 2019-28 Mart 2019 tarihleri arasında başlatılması gerekiyor. Bu raporun yazılmasından itibaren kod hala geçerli ve boşluklar ve virüs mantığı devam ediyor Aktive edilebilir. Kötü amaçlı reklam içeriği, bir iframe etiketinde bulunan bir reklam sayfasıdır. Aşağıdaki şekilde gösterildiği gibi sayfa iç içe geçme ilişkisi:
Virüs sayfası iç içe geçmiş çağrı ilişkisiTj.html'de, saldırmak için Flash güvenlik açıklarını kullanmak için varsayılan olarak ad.html yüklenecek ve ardından tarayıcının kullanıcı aracısına göre farklı IE yararlanma kodları (banner.html veya cookie.html) yüklenecektir. İlgili kod aşağıdaki şekilde gösterilmiştir:
Sayfa yükleme koduAd.html'deki HTML kodu, karmaşık JavaScript kodu içeriyor. İlgili kod aşağıdaki şekilde gösterilmiştir:
Ad.html'deki HTML koduAd.html'deki kodun şifresi iki kez çözülecek ve sonunda güvenlik açığı çağrı kodunu alacaktır.Kullanım kodunun çağrı mantığına göre, etkilenen Flash sürüm aralığının 21.0.0.180 ile 31.0.0.160 arasında olduğunu kabaca onaylayabiliriz. İlgili kod aşağıdaki şekilde gösterilmiştir:
Güvenlik açığı saldırısıyla ilgili çağrı kodunun son yürütülmesiGüvenlik açığı tetiklendikten sonra, uzak HTA komut dosyası, virüs verilerini şifre çözme ve yürütme için CC sunucu adresinden (hxxp: //www.ce56b.cn/logo.swf) yerel ağa indirmek için çağrılacaktır. Şifresi çözülen virüs verileri, indirici virüstür. İlgili işlem çağrısı ilişkisi aşağıdaki şekilde gösterilmiştir:
Güvenlik açığı tetiklendikten sonra çağrı ilişkisini işlemeVirüs şifre çözme için ilgili kod aşağıdaki şekilde gösterilmektedir:
Virüs şifre çözme koduBanner.html ve cookie.html sonunda benzer uzak HTA komut dosyalarını çalıştıracak ve sonunda aynı kötü amaçlı kodu aynı CC sunucu adresi üzerinden indirip çalıştıracaktır. İlgili kod aşağıdaki şekilde gösterilmiştir:
Uzak HTA komut dosyası adresinin şifresini çöz Güvenlik açığı tetikleme koduGüvenlik açığı tetiklendikten sonra, nihayet indirilen ve çalıştırılan indirici virüsü, bilgisayar korsanlığı Truva Atını, CC sunucusu tarafından döndürülen yapılandırmaya göre yürütmek üzere yerel olarak indirir (hxxp: //www.ce56b.cn/tj.txt). Hesap hırsızlığı riski taşıyan yazılımlar şunları içerir: Steam oyun platformu, WeGame oyun platformu, Tencent QQ, Dungeons and Warriors, Cross Fire, League of Legends. Aşağıdaki şekilde gösterildiği gibi ilgili konfigürasyon:
Downloader virüs yapılandırmasıTencent QQ, Dungeons and Warriors ve CrossFire oyunlarının hackleme Truva atları Delphi tarafından yazılmıştır.Oyun giriş arayüzünü taklit ettiler ve kullanıcıları oyun hesabı şifresini girmeleri için kandırdılar.Elde edilen hesap şifresi uzak CC sunucusuna gönderilecektir (hxxp: // we. zouxian1.cn). İlgili kod aşağıdaki şekilde gösterilmiştir:
Hesabı ve şifreyi gönderinLeague of Legends ve WeGame oyun platformları, oyunun giriş arayüzünü taklit ederek kullanıcının oyun hesabını ve şifresini de alır ve hesap şifresi de uzak CC sunucusuna (hxxp: //we.zouxian1.cn) gönderilir. İlgili kod aşağıdaki şekilde gösterilmiştir:
Hesabı ve şifreyi gönderinSteam oyun platformunun hesap şifresini çalarken, virüs ilk olarak libsteam.dll dosyasını steam dizinine bırakacak ve global kancayı kurmak için dinamik kütüphanenin dışa aktarma işlevini InstallHook çağıracaktır. İlgili kod aşağıdaki şekilde gösterilmiştir:
Dışa aktarma işlevini çağırınDinamik kütüphane, kendisini buhar sürecine enjekte etmek için genel bir kanca kuracaktır Buhar işlemine enjekte edildiğinde, SteamUI.dll'deki TextEntry kontrolüyle ilgili işlevler, kullanıcının hesabını ve parola girişini engellemek için kullanılır. Aşağıdaki şekilde gösterildiği gibi kodun bir kısmını enjekte edin:
Global kancaları yükleyinHOOK SteamUI.dll, kullanıcının hesap parolasını ele geçirmek için kullanılır. Aşağıdaki şekilde gösterildiği gibi, ilgili kodu KANCA:
HOOK SteamUI.dllÇalınan hesap aynı zamanda uzak CC sunucusuna da gönderilecektir (hxxp: //zouxian1.cn). İlgili kod aşağıdaki şekilde gösterilmiştir:
Hesabı ve şifreyi gönderin3. İzlenebilirlik analizi
Bu rapor sırasında elde edilen izlenebilir bilgiler, ağ atı bilgilerini ve virüsle ilgili bilgileri içerir.İzlenebilirlik analizi aşağıdaki bloklara bölünmüştür.
Nethorse izlenebilirliği
Yyakeq.cn ve ce56b.cn alan adlarının izlenebilirliği sayesinde, yukarıdaki alan adlarının "Wuhan Yuepu Teng Technology Co., Ltd." ve "Shaodong Green Space Engineering Design Co., Ltd." adlı şirketler ve iki şirket tarafından tescil edildiği bulundu. Görünüşte anlamsız, neredeyse rastgele oluşturulmuş en az binlerce alan adı kayıtlı, bunlardan bazıları açık hileli içeriğe sahip sayfalara işaret ediyor (aşağıdaki şekilde gösterildiği gibi), bu nedenle bu alan adlarının gelecekte CC hizmetleri olarak kullanılması amaçlandığı göz ardı edilmemiştir. DGA (Dynamic Generation Algorithm) alan adı.
Etki alanlarından birinin işaret ettiği sayfanın içeriği yyakeq.cn alan adı kayıt bilgileri ce56b.cn alan adı kayıt bilgileri Bazı şüpheli DGA alanları Bazı şüpheli DGA alanlarıBilgisayar korsanlığı virüsünün kaynağı
Hacking virüs koleksiyonunun URL'sindeki Whois sorgusu aracılığıyla aşağıdaki bilgiler elde edilebilir:
Alan adı zouxian1.cn kayıt bilgileriEk olarak, ilgili kişinin ters kontrolü ve alan adı kayıt bilgilerinin iletişim e-postası yoluyla, bu kişi aynı adlandırma yöntemiyle 20 Nisan 2018 tarihinde toplam 15 benzer alan adı kaydettirdi:
Alan adı kaydı ters kontrol sonucuEk olarak, ICP dosyalama yoluyla, bazı alan adlarının da kişisel ICP dosyalamasından geçtiği tespit edildi:
ICP kaydı sorgu sonuçlarıVe aynı gün (20 Nisan 2018), bu kişi aynı QQ posta kutusunu (2659869342@qq.com) ve aşağıdaki şekilde gösterildiği gibi yukarıda belirtilen alan adlarına benzer diğer iki alan adını kaydetmek için farklı adları kullandı:
Alan adı kaydı ters kontrol sonucuDört, ek
Makale örnek SHA256'yı içerir:
* Yazar: tinder safe, FreeBuf.COM'dan yeniden basılmıştır.