从“叮叮天气”挂马事件揭秘互联网暗刷黑产“蛇头”
1)概括
从2015年11月30号开始,阿里巴巴安全威胁情报中心“千里眼”系统监控到一个高级样本(CVE-2015-5119)挂马攻击,中招的电脑会被静默安装大量推广软件。这些被安装的推广软件会像蚂蝗一样吸附在中招的电脑上,然后这些推广软件又会安装其他推广软件甚至是恶意软件,形成一个恶性循环。
通过溯源分析后,我们发现互联网上有近1500万独立IP受此次挂马事件影响,并发现“叮叮天气”客户端软件、“垃圾站群”、“PCLADY知名网站”等会引导流量到挂马页面,从而使得网站用户遭受挂马攻击。而整个挂马攻击过程中,实际上存在一个“蛇头”角色,他把黑客、网站主、广告主、CPA插件联盟、运营商从业人员等人聚集在一起,进行非法地“流量变现”交易,甚至利用Nday攻击互联网用户来谋取暴利。
2)“叮叮天气”暗藏玄机
1、mini新闻页面变卖流量
“叮叮天气”桌面软件推送mini新闻页面,把海量PC流量变卖给“暗刷”产业。除“叮叮天气”软件外,另外发现“垃圾站群”、“PCLADY知名网站”等也被“暗刷”产业用来牟利。
2、 天气软件劫持知名网站
参考: http://www.freebuf.com/articles/terminal/90302.html
3)“叮叮天气”挂马事件溯源分析
1、“千里眼”监控体系
从2015年11月30号开始,“千里眼”系统频繁地监控到CVE-2015-5119挂马攻击,该告警并在12月4号上升到一个小高峰。
通过分析挂马样本,我们很快发现“叮叮天气”等挂马源并发现这个挂马页面访问统计代码。通过页面访问统计数据,我们了解到互联网上有大量用户受到此次“叮叮天气”挂马攻击。
通过长期追踪,我们找到了“叮叮天气”挂马事件幕后黑手以及互联网“暗刷”产业蛇头一族。
2、挂马手法溯源
a) 分析文件防病毒日志和流量检测日志定位到挂马页面地址: http://172.87.29.51/37FSDFSD5756FADS0fsdaGame.swf ,
文件MD5:a2faa78759fb09d1f5ed30e3280f953e
b) 构造CVE-2015-5119漏洞环境,分析该shellcode行为
发现漏洞在windows平台触发后从URL:http://74.126.180.170:666/smcc.exe下载一个PE文件并运行 ,并从URL:http://87.29.51/1.txt获取推广软件安装列表,然后静默安装。
c) 模拟安装叮叮天气,发现exe进程会主动访问74.126.180.170。并发现ddwExternal.exe进程启动参数包含一个mini新闻页面。
"C:/Users/{user}/AppData/Local/ddweather/ddwExternal.exe" /width=307 /height=251 /logo=0 /timeout=300 /url=http://www.77zn.com/wmini/?cache=555 /Start d) 使用firefox访问http://www.77zn.com/wmini/?cache=555发现这个http://172.87.29.51/37FSDFSD5756FADS0fsdaGame.swf挂马页面
e) 使用httpfox分析流量日志查看http头referer值,看到挂马页面来路是http://172.87.29.51/37g.htm
f) 对37g.htm进行url解码,发现把恶意的swf 前端显示长度和宽度设置为0来隐藏
g) 分析到37g.htm页面来源是:http:// www.wo560.com/anshua.htm
h)分析http:// www.wo560.com/anshua.html页面源码
发现是4个百度推广代码;
百度推广挂马参考:http://www.wooyun.org/bugs/wooyun-2010-044726
i) 分析百度推广ID:1167760
图3.9:分析百度推广ID:1167760
j) 分析http://www.77zn.com/wmini/?cache=555页面源码
发现百度推广ID :1167736,跟踪之
发现百度推广ID :1167736会跳转到http://www.wo560.com/anshua.html页面
k) 至此挂马手法应该是分析清楚了
http://www.77zn.com/wmini/?cache=555利用百度推广:1167736跳转到
http://www.wo560.com/anshua.html利用百度推广:1167760跳转到
http://172.87.29.51/37g.htm 伪造大战神广告页面,嵌入CVE挂马地址
http://172.87.29.51/37FSDFSD5756FADS0fsdaGame.swf 从远程下载PE文件执行
http://74.126.180.170:666/smcc.exe(实际上是一个CPA插件,功能类似于下载者)获取推广软件地址列表,并安装
http://172.87.29.51/1.txt
3、暗刷产业“蛇头”溯源
a) 在http://172.87.29.51/37g.htm找到la统计ID:18659367,访问http://www.51.la/?18659367报表未公开,获得信息:用户网站【tj】
b) 在http://172.87.29.51/TJ.htm找到la统计ID: 18660602,访问http://www.51.la/?18660602,报表公开,获得信息:51la登陆账号antantj
c) 猜测antantj账号密码,通过简单密码登陆
d) 持续观察antantj账号访问统计“来路”报表,发现新增来路:ushang123.com
进行分析
http://www.ushang123.com/v.php?id=314&%3Bp=aj0xJm09MCZmPTAmcj1odHRwJTNBJTJGJTJGd3d3Lmhhb3NvdS5jb20lMkZzJTNGcSUzRCUyNUU1JTI1OUMlMjVBOCUyNUU3JTI1QkElMjVCRiUyNUU4JTI1QTclMjU4MiUyNUU3JTI1OUMlMjU4QiUyNUU3JTI1QkQlMjU5MSUyNnBuJTNENSUyNnBzaWQlM0RjZGZkMTAwOTVjOGYyZjZ
在该页面发现一段js链接:http://www.ushang123.com/js/tj.js
f) 分析http://www.ushang123.com/js/tj.js
发现代码:
/*流量变现 2091866136*/
http://58.229.130.36/qudao2.htm
g) 关联virustotal关联发现几乎一样的CVE-2015-5119
http://58.229.130.36/37DFSD5756FADS09fsdaGame.swf
https://www.virustotal.com/en/ip-address/58.229.130.36/information/
h) 通过google搜索QQ:2091866136
至此可以确定 /*流量变现 2091866136*/ 跟此次“叮叮天气”挂马事件有很大关系。
i) 对QQ:2091866136 进行分析,发现密码手机133******34
j) 对“年终冲量 【百万现金】网页收暗刷量”进行搜索发现不少帖子,在http://www.a5.net获取到一些信息:
账号37game
手机:151****8711
2091866136@qq.com
注册时间2015-11-29 21:58
k) 扮演“出量”角色,与“蛇头”聊天
l) 梳理下聊天内容,大概得到以下信息。
1W IP访问量给15元;(对于100W/天“出量”的,一天能够变现1500元人民币)
日结算,第二天9点~11点结算前一天的,不支持预付;(早上9点就起床,应该是团队作案)
4)“暗刷”产业简介
1、“暗刷”黑色产业的黑话
流量变现:是指将网站流量通过某些手段实现现金收益。
收量:是指以一定价格与手头有网站流量的人(网站主、黑客、运营商、系统运营人员等)进行交易。
出量:又叫放量,是指把网站流量通过非法的手段进行流量变现,一般会出售给“暗刷”产业。
暗刷:这里的“暗刷”是指广告联盟/插件联盟暗刷,其利用html/javascript语言特性插入一些页面内嵌/跳转代码,使得web前端不会展示代码运行效果,但后端会偷偷的运行广告代码甚至是恶意代码。
2、“暗刷”产业状态
a) 互联网论坛和QQ群上“暗刷”产业已经是明目张胆
b) Nday成为“暗刷”产业牟利工具
c) "蛇头" 与不良网站主为“暗刷”产业推波助澜
5)附录
1、CVE-2015-5119 样本hash列表:
2、CVE-2015-5119 C&C列表:
172.87.29.50/37FSDFSD5756FADS09fsdaGame.swf 172.87.29.51/37FSDFSD5756FADS0fsdaGame.swf 58.229.130.36/37DFSD5756FADS0fsdaGamee.swf 58.229.130.36/37GameSDF8686O.swf 222.186.50.213/exp1.swf 182.254.158.146:909/exp1.swf
* 作者:阿里安全(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
正文到此结束
热门推荐
相关文章
近期评论
-
文章和留言都翻到11页了 没有OOM
-
-
朋友,翻页到11页,及以后,会出现OOM,无法访问
-
-
搞个gitee的项目
-
-
版本号是多少,你可以下载哪个代码仓库,jdk选1.8 直接跑就行
-
-
-
Loading...
![[HBLOG]公众号](https://www.liuhaihua.cn/img/qrcode_gzh.jpg)
