<dfn id="7thld"></dfn>
<pre id="7thld"><sub id="7thld"></sub></pre>

<cite id="7thld"></cite>

    <mark id="7thld"><address id="7thld"><mark id="7thld"></mark></address></mark>

          <cite id="7thld"></cite>

            <del id="7thld"><address id="7thld"></address></del>

            <font id="7thld"></font>
            <rp id="7thld"><address id="7thld"></address></rp>

            <cite id="7thld"><big id="7thld"><del id="7thld"></del></big></cite>
            • 首頁
            • 產品·服務
              個人版5.0 企業產品 對外合作 病毒威脅上報
            • 理念·技術
            • 資訊·論壇
              資訊 論壇
            • 關于火絨
              公司信息 加入我們

            火絨安全警報:“2345導航站”彈窗廣告攜帶病毒 盜取QQ和多款熱門游戲賬號

                 最新資訊      2019-04-01      

             一、概述

             
            4月1日凌晨,火絨安全團隊發出警報,部分“2345導航站”首頁的彈窗廣告攜帶盜號木馬,該病毒會偷取QQ、游戲平臺(steam、WeGame)、知名游戲(地下城與勇士、英雄聯盟、穿越火線)的賬號。這是一次設計精巧、組織周密的大規模盜號行動,利用周末時間突然發起攻擊,主要目標是網吧游戲用戶。
             
             
            圖片1.png
             
            火絨工程師分析,部分“2345導航站”首頁右下角會彈出彈窗廣告(上圖紅色箭頭所指),該廣告頁面一經彈出,即可自動下載病毒,無需用戶點擊。病毒下載鏈接自動激活后,首先訪問跳板網站“yyakeq.cn”(存放跳板腳本以及flash漏洞),然后再從“ce56b.cn”網站下載病毒,而盜取的QQ、游戲等賬號則被上傳到“zouxian1.cn”網站。
             
            該病毒利用IE瀏覽器漏洞和Flash漏洞進行傳播,受影響Flash控件版本從21.0.0.180至31.0.0.160。所有使用360、搜狗等主流瀏覽器的用戶,如果其Flash控件是以上版本,都會被感染。
             
            安裝最新版“火絨安全軟件”,即可徹底查殺該病毒。該病毒整個傳播鏈條及所涉相關企業、疑似團伙嫌疑人等信息,請閱讀后附的詳細分析報告。
             
             
            二、樣本分析
            近期,火絨發現2345、hao774等多個2345旗下導航站中廣告內容帶有漏洞攻擊代碼。通過分析確認,我們初步認定2345旗下導航站被投毒。廣告內容涉及瀏覽器漏洞和Flash漏洞,漏洞代碼執行后會從C&C服務器(hxxps:// www.yyakeq.cn)下載執行病毒代碼,現階段火絨發現的病毒代碼內容多為盜號病毒。該漏洞攻擊只針對特定的推廣計費號,再聯系其廣告內容“高價在線回收所有網游裝備/金幣”,我們推斷此次攻擊主要針對對象主要為網絡游戲人群,且針對性極強。2345導航站中相關廣告內容和相關HTML代碼,如下圖所示:
             
            圖片2.png
             
            2345導航站中相關廣告內容和相關HTML代碼
             
            從頁面代碼看,該廣告展示代碼的植入也非常“奇特”,因為廣告展示鏈接是硬編碼在頁面代碼中的。根據web.archive.org的抓取結果,該廣告展示代碼應該于2019年3月25日至2019年3月28日期間首次上線,截至本報告撰寫時,該代碼仍然有效且漏洞和病毒邏輯仍可激活。惡意廣告內容為被包含在iframe標簽中的廣告頁面。頁面嵌套關系,如下圖所示:
             
            圖片3.png
            病毒頁面嵌套調用關系
             
            tj.html中首先會默認加載ad.html利用Flash漏洞進行攻擊,之后再根據瀏覽器的User Agent加載不同的IE漏洞利用代碼(banner.html或cookie.html)。相關代碼,如下圖所示:
             
            圖片4.png
            頁面加載代碼
             
            ad.html中的HTML代碼中包含有混淆后的JavaScript代碼。相關代碼,如下圖所示:
             
            圖片5.png
             
            ad.html中的HTML代碼
             
            ad.html中代碼會被先后解密兩次,最終得到漏洞調用代碼,根據漏洞利用代碼的調用邏輯,我們可以粗略確認受影響的Flash版本范圍為21.0.0.180 至 31.0.0.160之間。相關代碼,如下圖所示:
             
            圖片6.png
            最終執行的漏洞攻擊相關調用代碼
             
            漏洞被觸發后,會調用遠程HTA腳本會從C&C服務器地址(hxxp://www.ce56b.cn/logo.swf)下載病毒數據到本地進行解密執行,被解密后的病毒數據為下載者病毒。相關進程調用關系,如下圖所示:
             
            圖片7.png
            漏洞觸發后的進程調用關系
             
            病毒解密相關代碼,如下圖所示:
             
            圖片8.png
            病毒解密代碼
             
            banner.html和cookie.html最終也會執行類似的遠程HTA腳本最終通過相同的C&C服務器地址下載執行相同惡意代碼。相關代碼,如下圖所示:
             
            圖片9.png
            解密遠程HTA腳本地址
             
            圖片10.png
            漏洞觸發代碼
             
             
            漏洞被觸發后,最終被下載執行的下載者病毒會根據C&C服務器返回的配置(hxxp://www.ce56b.cn/tj.txt),下載盜號木馬到本地進行執行。存在被盜號風險的軟件包括:Steam游戲平臺、WeGame游戲平臺、騰訊QQ、地下城與勇士、穿越火線、英雄聯盟。相關配置,如下圖所示:
             
            圖片11.png
             
            下載者病毒配置
             
            騰訊QQ、地下城與勇士、穿越火線游戲的盜號木馬均為Delphi編寫,通過偽造游戲登陸界面,欺騙誘導用戶輸入游戲賬號密碼,獲取到賬號密碼會發送到遠程C&C服務器(hxxp://we.zouxian1.cn)。相關代碼,如下圖所示:
             
            圖片12.png
            提交賬號與密碼
             
            英雄聯盟、WeGame游戲平臺同樣也是通過偽造游戲的登陸界面,獲取用戶的游戲賬號和密碼,并且賬號密碼也會發送到遠程C&C服務器(hxxp://we.zouxian1.cn)。相關代碼,如下圖所示:
             
            圖片13.png
            提交賬號與密碼
             
            在盜取Steam游戲平臺賬號密碼 時,首先該病毒會釋放libsteam.dll到steam目錄下,并調用該動態庫的導出函數InstallHook 用于安裝全局鉤子。相關代碼,如下圖所示:
             
            圖片14.png
            調用導出函數
             
            該動態庫會安裝全局鉤子,用于將自身注入到steam進程,當注入到steam進程后SteamUI.dll中TextEntry控件相關的函數,用于截取用戶的賬號密碼輸入。注入部分代碼,如下圖所示:
             
            圖片15.png
            安裝全局鉤子
             
            HOOK SteamUI.dll用于截獲用戶的賬號密碼。HOOK 相關代碼,如下圖所示:
             
            圖片16.png
             
            HOOK SteamUI.dll
             
            被盜取的賬號,同樣也會發送到遠程C&C服務器(hxxp://zouxian1.cn)。相關代碼,如下圖所示:
             
            圖片17.png
             
            提交賬號與密碼
             
            三、溯源分析
            本次報告過程中獲取到的可溯源信息包括網馬信息和病毒相關信息,下文分塊進行溯源分析。
             
            網馬溯源
            通過對域名yyakeq.cn和ce56b.cn的溯源,發現上述域名分別由名為“武漢躍譜騰科技有限公司”和名為“邵東綠設空間工程設計有限公司”的公司注冊,且兩公司還注冊了至少幾千個名稱看似毫無含義、近乎隨機生成的域名,其中一些域名指向頁面包含明顯的欺詐內容(如下圖所示),所以不排除這些域名是想在未來用作C&C服務的DGA(Dynamic Generation Algorithm)域名。
             
            圖片18.png
             
            其中一個域名指向的頁面內容
             
            圖片19.png
            yyakeq.cn域名注冊信息
             
            圖片20.png
            ce56b.cn域名注冊信息
             
            圖片21.png
            部分疑似DGA域名
             
            圖片22.png
            部分疑似DGA域名
             
            盜號病毒溯源
            通過對盜號病毒收集URL的Whois查詢,可以得到如下信息:
             
            圖片23.png
            域名zouxian1.cn注冊信息
             
            另外通過該域名注冊信息的聯系人和聯系郵箱反查,此人以同樣的命名方式于2018年4月20日共注冊了15個近似域名:
             
            圖片24.png
             
            域名注冊反查結果
             
            另外,通過ICP備案查詢發現,其中部分域名還經過了ICP個人備案:
             
            圖片25.png
             
            ICP備案查詢結果
             
            并且同日(2018年4月20日),此人還用同樣的QQ郵箱(2659869342@qq.com)和不同的姓名注冊了另外兩個形式與前述域名相似的域名,如下圖所示:
             
             
            圖片26.png
            域名注冊反查結果
             
             
             
            四、附錄
            文中涉及樣本SHA256:
             
            圖片27.png
             
            • 上一篇
            • 下一篇
            分享到:
            說點什么
            驗證碼
            熱門評論 (61)
            熱門排序  |  時間排序
            火絨終端安全管理系統1.0
            適用于政府、企業、學校、醫院等機構用戶 90天免費試用
            立即試用
            火絨安全軟件5.0
            個人用戶免費使用
            立即下載
            熱門資訊
             為硬盤瘦身 一鍵清理電腦垃圾文件
            為硬盤瘦身 一鍵清理電腦垃圾文件
            • 火絨入局企業級市場:紅了誰的櫻桃?...
            • 火絨馬剛:倔強獨角獸不想跪下賺錢
            • 勒索軟件作者突然道歉并放出密鑰
            • 火絨關停流量業務,我和馬剛聊了聊
            • 打疼友商的火絨:有人要 OEM 引擎,有...
            • 分手360后,奇安信為何選擇牽手火絨安...
            • 火絨 CEO 劉剛:關于 AI 、威脅情報和...
            • 「火絨安全」獲天融信Pre-A輪融資,下...
            • 火絨馬剛口述:站著能掙錢,是我堅定...
            • 新中文勒索軟件露面:支付比特幣贖金

            北京火絨網絡科技有限公司

            北京市朝陽區紅軍營南路15號瑞普大廈B座1202室

            專業認證

            全國服務熱線

            010-8490-5882

            咨詢時間: 9:30 - 18:30

            電話傳真: 010-84905882

            Copyright 2011-2019 北京火絨網絡科技有限公司 ALL Rights Reserved 京ICP備16038014號 京公網安備11010502035539號
            另版澳门葡京赌侠诗-一句话玄机白小姐精准资料网 白小姐四肖必选一肖| 白小姐四肖必选一肖| 白小姐六肖选一肖中特| 管家婆四肖精选期期准| 蓝月亮料精选资料免费| 白小姐六肖选一肖中特| 管家婆期期准免费资料精选| 管家婆四肖精选期期准| 王中王中特免费公开资料选料| 白小姐六肖选一肖中特| 三肖选一肖期期准| 四肖选一肖一码期期准| 白小姐六肖选一肖中特| 香港曾道六肖精选一肖| 蓝月亮246精选资料大全| 蓝月亮料精选资料免费| 四肖选一肖一码期期准| 香港蓝月亮精选免费资料大全| 四肖选一肖期期准香港| 二四六精选资料大全| 白小姐精选三肖期期准| 精选二四六天天资料| 王中王中特免费公开资料选料| 二四六精选资料大全| 蓝月亮246精选资料大全| 蓝月亮246精选资料大全| 二四六精选资料大全| 香港最准一肖中特公开选料1| 四肖选一肖一码期期准| 香港蓝月亮精选免费资料大全| 三肖选一肖期期准| 香港最准一肖中特公开选料1| 管家婆期期准免费资料精选| 白小姐精选三肖期期准| 蓝月亮精选料免费大全| 白小姐精选三肖期期准| 香港最准一肖中特公开选料1| 三肖选一肖期期准| 管家婆四肖精选期期准| 白小姐四肖选一肖期准| 白小姐六肖选一肖中特|