网络劫持攻击一直是网络安全领域的常见威胁,攻击者通过篡改网络请求或植入恶意代码,将用户劫持至非法页面,从而实现恶意目的。这种攻击手段不仅干扰用户的正常网络体验,还可能带来隐私泄露和设备安全风险。
近期,火绒威胁情报中心监测到 QQ 音乐目录下存在异常进程自启现象。经溯源分析,确认该进程文件为 2021 年版本的 QQMusic.exe文件。攻击者利用“白加黑”技术加载恶意 DLL 文件,解压出劫持网页模块,随后安装用于劫持网页的恶意驱动,最终达成将指定网址劫持至私服发布页面的攻击目的。此外,该恶意驱动还可检测 ARK 工具驱动,并对其进行断链以隐藏自身驱动,同时对安全软件的通信进行干扰。目前,火绒安全产品可对上述病毒进行拦截查杀,建议广大用户及时更新病毒库以提高防御能力。
查杀图
劫持前网站页面为:
原网站
劫持后网站页面为:
劫持后网站
一、溯源分析
在进行溯源时,我们发现早在 2021 年就存在一种利用 ManicTimeVico.exe (实际为 QQMusic.exe 文件)实施白加黑手段的病毒。然而,此次发现与 2021 年的情况有所不同,其源头大部分来自于传奇私服,还有一小部分为游戏修改器和模拟器等。相关的恶意文件名有《完美公益[1.01].exe》、《2k25西瓜修改器.exe》、《krkr-incomplete-load.exe》(吉里吉里模拟器)等。
在调查过程中我们还注意到,这些传奇私服大部分是通过蓝奏云下载的。而蓝奏云下载链接疑似被劫持,导致实际下载链接被篡改为阿里云 oss 链接,最终致使用户下载到携带病毒的文件。
以下是下载该病毒时用到的链接:(其中包含各种各样的传奇私服文件。)
lanzouxx.oss-cn-hangzhou.aliyuncs.comfs1832075456.oss-accelerate.aliyuncs.comlanzoc.oss-cn-hangzhou.aliyuncs.comfs839268.oss-cn-shenzhen.aliyuncs.comlanzoa.oss-cn-hangzhou.aliyuncs.comlanzog.oss-cn-hangzhou.aliyuncs.comlanzod.oss-cn-hangzhou.aliyuncs.comlanzoi.oss-cn-hangzhou.aliyuncs.comlanzok.oss-cn-hangzhou.aliyuncs.comlanzof.oss-cn-hangzhou.aliyuncs.comlanzob.oss-cn-hangzhou.aliyuncs.comlanzoj.oss-cn-hangzhou.aliyuncs.com
以下是 2022 年 11 月 21 日某贴主发布的蓝奏云下载地址被劫持的警示帖子截图:
蓝奏云链接劫持帖子截图
二、样本分析
基于上述溯源发现,下面将以“完美公益 [1.01].exe”为例进行分析。(其他样本与该样本类似,仅仅是其中释放的原文件不一样。)
该样本的执行逻辑可以分为以下三个阶段:
初始阶段:样本首先释放并运行原始文件,即传奇私服程序,随后下载配置文件并检查指定文件和注册表决定进入哪条分支。下载劫持模块:第一分支和第二分支负责下载劫持模块。尽管第三分支由于无法成功下载文件,所以我们无法确切判断它是否也会执行下载劫持模块的操作,但在分类上我们依然将其归到这一阶段当中。劫持模块:劫持模块中实现劫持操作,将指定网页劫持至传奇私服发布页。
该样本执行流程图如下:
流程图
初始阶段
执行原程序:样本首先进行的操作是提取自身资源中的 bitmap - 0x80 - 0x409,接着将其取反,以此作为文件名,随后在 C 盘下创建一个名为“完美公益 [1.01]”的目录。完成这一步后,样本会再次提取资源 bitmap - 0x74 - 0x409,并取反后作为文件数据,最终生成一个名为“完美公益 [1.01].exe”的可执行文件并执行它。
执行原文件资源中的原程序
下载配置文件:通过链接 06aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8Q4y4h3j5I4i4K6u0W2L8r3q4J5k6$3g2K6k6r3g2J5i4K6u0W2j5$3!0E0i4K6y4m8z5o6R3^5z5l9`.`. 下载 ii.html文件,之后利用井字符号分割其内容,并分别赋值。所赋的值后续会用于检查特定文件是否存在、确定需要等待的秒数,以及判断是否进入第三分支等情况。
下载 ii.html 并分割赋值
随后分别检查以下内容是否存在:
文件夹:其检查结果会对是否进入第二分支产生影响。
C:/Program Files (x86)/DB Commander 2000 PRO/C:/Program Files/DB Commander 2000 PRO/
注册表:尚未分析出是否会有影响。
SOFTWARE\Microsoft\Terminal Server Client\Default\MRU0SOFTWARE\Microsoft\Terminal Server Client\Default\MRU1HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VMnetDHCP
创建 C:\ProgramData\ttt7.ini 和 C:\ProgramData\t7.ini。
设置以下注册表值为 0,以禁用用户账户控制(UAC):
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\ConsentPromptBehaviorAdminSOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\EnableLUASOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\PromptOnSecureDesktop
禁用 UAC
检查安全软件进程:对 kxetray.exe、360Safe.exe、360Tray.exe 等进程进行检查。其中,是否存在 360 相关进程会对是否进入第一分支产生影响。
检查安全软件
下载劫持模块阶段
第一分支
第一分支进入条件:检测是否存在 360 进程,如果存在则会进入第一分支。此过程中有断网操作,推测其目的是对抗 360 云端上传检测。
下载文件:进入分支后,下载云端配置、解压器及QQ 音乐白加黑模块加载器三个文件。
解压执行:下载文件后判断 FFDPS.tmp 中数据是否为 123,如果是 123 则利用解压器 rr.exe 和密码 FASJKLVFDAJKLCDSA434JKLFDS 解压 startups.jpg 至 C:\Users\Administrator\AppData\Local\Temp 目录中,随后执行 playtomenu.exe。
下载链接对应表
playtomenu.exe
程序功能:具备反沙箱等功能以防止
...(已截断)
---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-285329.htm
QQ音乐遭遇“白加黑”利用,网站被劫持推广传奇私服
286 浏览
4 回复
有人会写这种吗!私信我
厉害
谁能做到 私信我!
手里有源码的来合作赚钱