记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

从“叮叮天气”挂马事件揭秘互联网暗刷黑产“蛇头”

2016-01-15 21:45

1)概括

从2015年11月30号开始,阿里巴巴安全威胁情报中心“千里眼”系统监控到一个高级样本(CVE-2015-5119)挂马攻击,中招的电脑会被静默安装大量推广软件。这些被安装的推广软件会像蚂蝗一样吸附在中招的电脑上,然后这些推广软件又会安装其他推广软件甚至是恶意软件,形成一个恶性循环。

通过溯源分析后,我们发现互联网上有近1500万独立IP受此次挂马事件影响,并发现“叮叮天气”客户端软件、“垃圾站群”、“PCLADY知名网站”等会引导流量到挂马页面,从而使得网站用户遭受挂马攻击。而整个挂马攻击过程中,实际上存在一个“蛇头”角色,他把黑客、网站主、广告主、CPA插件联盟、运营商从业人员等人聚集在一起,进行非法地“流量变现”交易,甚至利用Nday攻击互联网用户来谋取暴利。

2)“叮叮天气”暗藏玄机

1、mini新闻页面变卖流量

“叮叮天气”桌面软件推送mini新闻页面,把海量PC流量变卖给“暗刷”产业。除“叮叮天气”软件外,另外发现“垃圾站群”、“PCLADY知名网站”等也被“暗刷”产业用来牟利。


2、 天气软件劫持知名网站

参考:http://www.freebuf.com/articles/terminal/90302.html

3)“叮叮天气”挂马事件溯源分析

1、“千里眼”监控体系

从2015年11月30号开始,“千里眼”系统频繁地监控到CVE-2015-5119挂马攻击,该告警并在12月4号上升到一个小高峰。

通过分析挂马样本,我们很快发现“叮叮天气”等挂马源并发现这个挂马页面访问统计代码。通过页面访问统计数据,我们了解到互联网上有大量用户受到此次“叮叮天气”挂马攻击。


通过长期追踪,我们找到了“叮叮天气”挂马事件幕后黑手以及互联网“暗刷”产业蛇头一族。

2、挂马手法溯源

a) 分析文件防病毒日志和流量检测日志定位到挂马页面地址:http://172.87.29.51/37FSDFSD5756FADS0fsdaGame.swf

文件MD5:a2faa78759fb09d1f5ed30e3280f953e

b) 构造CVE-2015-5119漏洞环境,分析该shellcode行为

发现漏洞在windows平台触发后从URL:http://74.126.180.170:666/smcc.exe下载一个PE文件并运行 ,并从URL:http://87.29.51/1.txt获取推广软件安装列表,然后静默安装。

c) 模拟安装叮叮天气,发现exe进程会主动访问74.126.180.170。并发现ddwExternal.exe进程启动参数包含一个mini新闻页面。

"C:\Users\{user}\AppData\Local\ddweather\ddwExternal.exe" /width=307 /height=251 /logo=0 /timeout=300 /url=http://www.77zn.com/wmini/?cache=555 /Start

d) 使用firefox访问http://www.77zn.com/wmini/?cache=555发现这个http://172.87.29.51/37FSDFSD5756FADS0fsdaGame.swf挂马页面

e) 使用httpfox分析流量日志查看http头referer值,看到挂马页面来路是http://172.87.29.51/37g.htm


f) 对37g.htm进行url解码,发现把恶意的swf 前端显示长度和宽度设置为0来隐藏


g) 分析到37g.htm页面来源是:http://www.wo560.com/anshua.htm


h)分析http://www.wo560.com/anshua.html页面源码

发现是4个百度推广代码;

百度推广挂马参考:http://www.wooyun.org/bugs/wooyun-2010-044726

i) 分析百度推广ID:1167760

图3.9:分析百度推广ID:1167760

j) 分析http://www.77zn.com/wmini/?cache=555页面源码


发现百度推广ID :1167736,跟踪之

发现百度推广ID :1167736会跳转到http://www.wo560.com/anshua.html页面

k) 至此挂马手法应该是分析清楚了

http://www.77zn.com/wmini/?cache=555利用百度推广:1167736跳转到

http://www.wo560.com/anshua.html利用百度推广:1167760跳转到

http://172.87.29.51/37g.htm 伪造大战神广告页面,嵌入CVE挂马地址

http://172.87.29.51/37FSDFSD5756FADS0fsdaGame.swf 从远程下载PE文件执行

http://74.126.180.170:666/smcc.exe(实际上是一个CPA插件,功能类似于下载者)获取推广软件地址列表,并安装

http://172.87.29.51/1.txt

3、暗刷产业“蛇头”溯源

a) 在http://172.87.29.51/37g.htm找到la统计ID:18659367,访问http://www.51.la/?18659367报表未公开,获得信息:用户网站【tj】

b) 在http://172.87.29.51/TJ.htm找到la统计ID: 18660602,访问http://www.51.la/?18660602,报表公开,获得信息:51la登陆账号antantj

c) 猜测antantj账号密码,通过简单密码登陆

d) 持续观察antantj账号访问统计“来路”报表,发现新增来路:ushang123.com


进行分析

http://www.ushang123.com/v.php?id=314&amp%3Bp=aj0xJm09MCZmPTAmcj1odHRwJTNBJTJGJTJGd3d3Lmhhb3NvdS5jb20lMkZzJTNGcSUzRCUyNUU1JTI1OUMlMjVBOCUyNUU3JTI1QkElMjVCRiUyNUU4JTI1QTclMjU4MiUyNUU3JTI1OUMlMjU4QiUyNUU3JTI1QkQlMjU5MSUyNnBuJTNENSUyNnBzaWQlM0RjZGZkMTAwOTVjOGYyZjZ

在该页面发现一段js链接:http://www.ushang123.com/js/tj.js

f) 分析http://www.ushang123.com/js/tj.js

发现代码:

/*流量变现 2091866136*/

http://58.229.130.36/qudao2.htm

g) 关联virustotal关联发现几乎一样的CVE-2015-5119

http://58.229.130.36/37DFSD5756FADS09fsdaGame.swf

https://www.virustotal.com/en/ip-address/58.229.130.36/information/

h) 通过google搜索QQ:2091866136


至此可以确定 /*流量变现 2091866136*/ 跟此次“叮叮天气”挂马事件有很大关系。

i) 对QQ:2091866136 进行分析,发现密码手机133******34


j) 对“年终冲量 【百万现金】网页收暗刷量”进行搜索发现不少帖子,在http://www.a5.net获取到一些信息:

账号37game

手机:151****8711

2091866136@qq.com

注册时间2015-11-29 21:58

k) 扮演“出量”角色,与“蛇头”聊天


l) 梳理下聊天内容,大概得到以下信息。

1W IP访问量给15元;(对于100W/天“出量”的,一天能够变现1500元人民币)

日结算,第二天9点~11点结算前一天的,不支持预付;(早上9点就起床,应该是团队作案)

4)“暗刷”产业简介

1、“暗刷”黑色产业的黑话

流量变现:是指将网站流量通过某些手段实现现金收益。

收量:是指以一定价格与手头有网站流量的人(网站主、黑客、运营商、系统运营人员等)进行交易。

出量:又叫放量,是指把网站流量通过非法的手段进行流量变现,一般会出售给“暗刷”产业。

暗刷:这里的“暗刷”是指广告联盟/插件联盟暗刷,其利用html/javascript语言特性插入一些页面内嵌/跳转代码,使得web前端不会展示代码运行效果,但后端会偷偷的运行广告代码甚至是恶意代码。

2、“暗刷”产业状态

a) 互联网论坛和QQ群上“暗刷”产业已经是明目张胆

b) Nday成为“暗刷”产业牟利工具

c) "蛇头" 与不良网站主为“暗刷”产业推波助澜

5)附录

1、CVE-2015-5119 样本hash列表:

2、CVE-2015-5119 C&C列表:

172.87.29.50/37FSDFSD5756FADS09fsdaGame.swf
172.87.29.51/37FSDFSD5756FADS0fsdaGame.swf
58.229.130.36/37DFSD5756FADS0fsdaGamee.swf
58.229.130.36/37GameSDF8686O.swf
222.186.50.213/exp1.swf
182.254.158.146:909/exp1.swf

* 作者:阿里安全(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

知识来源: www.freebuf.com/articles/terminal/93124.html

阅读:128680 | 评论:0 | 标签:终端安全 叮叮天气 挂马

想收藏或者和大家分享这篇好文章→复制链接地址

“从“叮叮天气”挂马事件揭秘互联网暗刷黑产“蛇头””共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于垒土;黑客之术,始于阅读

推广

工具

标签云