记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

解析广告木马程序Magala的威胁景观

2017-07-14 03:15

“一个大的种族慢慢征服另一大的种族,减少其数量,从而减少其进一步进化的机会……小的、零散的种族及其分支最终趋于消失。”摘自Charles Darwin. ‘On the Origin of Species’(《物种起源》)

特洛伊木马和病毒的黄金时代已经过去了,更多的关于它们的研究越来越局限在历史书和尘封的计算机事件报告中,恶意程序的创建也大多是出于研究或娱乐的目的。攻击活动的主流是从事更赚钱的项目。

如果忽略专业人员为特定目的而进行的有目标的攻击,如今我们最常听到的恶意软件类型有哪些呢?大多数人可能会回答:加密恶意软件和由物联网设备组成的DDoS僵尸网络。是的,这两种类型的网络攻击对网络犯罪份子都是有利可图饿,而且实现起来相对容易,成本较低。然而,还有另外一种不容忽视的、数量庞大且危害范围广泛的、以盈利为目的的恶意软件家族,即广告程序和模块以及合作项目,所有这些通常被称为“潜在的恶意广告软件/潜在有害程序”。诸多潜在的恶意程序处于边界地带,将一个程序定义为广告程序还是一个彻底的木马程序,需要有一个明确的分类标准/基线。本文中,我们将讨论一种胆大妄为的叛逆者,它远远超过了公平竞争的极限。

这一恶意程序被卡巴斯基实验室产品标注为:Trojan-Clicker.Win32.Magala。

运行机制

Magala是一种木马点击器,它能够模拟用户点击一个特定的网页。从而提高广告点击数量。需要指出的是,Magala实际上并不会对用户造成影响,除了稍微占用受感染计算机的一些资源之外。主要的受害人是那些支付广告费的人,通常他们是那些肆无忌惮的广告商的客户,一般都是一些小企业主。

感染的第一阶段,木马程序会检查受害主机上安装了哪个版本的IE浏览器,并定位在系统中。如果浏览器是IE8或更早的版本,那么木马程序不会运行。

图1:检测IE的版本号、初始化虚拟桌面(代码示例)

如果检测到IE的版本号满足要求,会静默的执行虚拟桌面初始化的工作,之后所有的活动都在这里执行。然后,恶意程序会执行一系列的实用的操作,如:设置自动启动,向一个硬编码的URL发送报告,安装所需的广告程序。这些动作对于恶意广告程序家族而言是典型的操作。

为了与一个开放网页的内容进行互动,Magala借助了MSHTML中IHTMLDocument2的方法,使用标准的windows接口更有利于快速将网页解析成DOM 树。另外,还会加载MapsGalaxy工具栏,将其安装到系统中,并在系统注册表中增加hxxp://hp.myway.com这个网址,与MapsGalaxy进行关联,使其称为浏览器的主页。

图2:将hxxp://hp.myway.com设为浏览器主页

木马程序中有一段代码执行简单的检查任务:确定是否已经安装了搜索条,这是在对应的注册表分支项的帮助下完成的。

图3: 检查是否安装了搜索条(代码示例)

随后,Magala会与远程服务器进行通信,请求一个需要牺牲点击数的搜索查询列表清单。

图4:请求搜索查询列表(代码示例)

接收到的搜索列表是一个包含很多字符串的纯文本文件,如下图所示:

图5:搜索查询列表(纯文本格式的字符串组合)

使用此列表,木马程序开始发送被请求的搜索查询,点击搜索结果中的前10个链接中的每一个页面,每次单击之间的间隔为10秒。

图6:搜索查询,并点击链接(代码示例)

盈利计算

据我们所知,目前网络广告市场中,CPC(Cost Per Click ,即每点击一次就计费)的平均成本是 0.07 美元。CPM (Cost Per Mille,即有一千人访问该主页的费用)的平均成本约为 2.2 美元。不过对于木马点击器而言,他们肯定不会依照这些流行的广告计费方式进行计算,一般而言,对需求方最好的方式是按成功设置主页显示来计算的,每个安装成本为 0.07 美元。

假设一个僵尸网络由1000个被感染的计算机组成,每个计算机执行大约500个搜索请求,从每个搜索结果中点击10个网站地址,搜索结果没有重叠的话,意味着理想情况下病毒作者可以从每个受感染的计算机中获得350美元的利润。不过这些成本估计只是近似值,通常不会出现在现实世界中。不同需求的成本可能会相差很大,0.07美元/次的价格也是个平均值。

传播情况

从下图中可以看到,trojan-clicker.win32.magala感染最严重的地区是德国和美国,这一发现证实了对搜索请求的点击率需要提高。这些统计数据的收集时间是2017年3月至6月。

结论

相比加密或银行木马而言,这类潜在的恶意广告程序通常不会给终端用户造成威胁。然而,这类恶意软件由两个特性使得它们很难被处理:首先,区分合法关键和恶意软件的界限比较模糊,分析人员必须澄清一个特定的程序是否是安全合法的广告活动的一部分,还是一个执行类似功能的非法软件。其次,这类恶意软件家族的另一个特征是其庞大的数量,这意味着对它们的任何分析都需要采用不同的方法。

MD5

1EB2D932BB916D4DB7F483859EEBABF8
206DD0B0E8FAA2D81AB617491F80AD0B
25BC675D23C2ACD5F288856F6B91818D
44A408386B983583CAEB0590433BE07B
4E4FA0B8C73889E9AA028C8FD7D7B3A5
6D3D80E89ABDED981AE329203F1779EB
6FA035264744E9C9A30409012BAB18DE
732B82A7424B60FEBB1E874B205E2D76
771E742D6C110F8BD68A7304EF93B131
A6B288A3B8C48A23092246FBBF6DB7C2
CF5A5C45778C793477ECAB02F1B3B2C3
DC16BA21BFE4838FD2A897FF13050FF4
F364B043BD6E2CC9C43F86E2004D71D3
F36672933F3CBACF8D8B396DFE259526

*文章来源:securelist,转载请注明来自MottoIN

知识来源: www.mottoin.com/103197.html

阅读:108969 | 评论:0 | 标签:安全报告 Magala 广告木马 木马病毒

想收藏或者和大家分享这篇好文章→复制链接地址

“解析广告木马程序Magala的威胁景观”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云

本页关键词