Finder golang爬虫 npm安装 Pytorch keras struct ansible Momentjs vue数据绑定 bootstrap后台模板 bootstrap后台管理模板 传智播客python android项目实例 jquery绑定click事件 java多行注释 maven配置eclipse docker查看所有容器 flutter 缺点 mysql时间戳转换日期 python类与对象 python的开发工具 python插件 python数字类型 java泛型 javasocket通信 java如何连接mysql java数组添加元素 java入门课程 java获取当前线程 java集合类 获取当前时间java java文件输入输出 mounted 字幕制作软件哪个好 动态加载js 2k14生涯模式修改器 lol语音包 高通cpu排行 音乐狂app 小米游戏鼠标
当前位置: 首页 > 学习教程  > 编程语言

全国多省爆发大规模软件升级劫持攻击软件劫持经典案例

2021/1/13 20:19:15 文章标签: 测试文章如有侵权请发送至邮箱809451989@qq.com投诉后文章立即删除

不久前,Petya勒索病毒变种在乌克兰爆发,并蔓延到欧洲多个国家的大型企业。病毒攻击的根源是劫持了乌克兰专用会计软件me-doc的升级程序,使用户更新软件时感染病毒,从而对众多企业的系统和数据造成惨重损失。 劫持软件升级“投毒”…

不久前,Petya勒索病毒变种在乌克兰爆发,并蔓延到欧洲多个国家的大型企业。病毒攻击的根源是劫持了乌克兰专用会计软件me-doc的升级程序,使用户更新软件时感染病毒,从而对众多企业的系统和数据造成惨重损失。在这里插入图片描述

劫持软件升级“投毒”并不是新鲜的攻击手法,国内也屡有发生。但就在Petya勒索病毒变种轰动全球后短短数天时间内,山东、山西、福建、浙江等多省的软件升级劫持达到空前规模,360安全卫士对此类攻击的单日拦截量突破40万次!
尽管国内的软件升级劫持目前仅仅被利用流氓推广软件,但是大规模的网络劫持、大量缺乏安全升级机制的软件,如果再加上“商业模式”非常成熟的勒索病毒,无疑会造成灾难性后果。
事件还原
IIS7网站监控可以做到提前预防各类网站劫持、并且是免费在线查询、适用于各大站长、政府网站、学校、公司、医院等网站。他可以做到24小时定时监控、同时它可以让你知道网站是否被黑、被入侵、被改标题、被挂黑链、被劫持、被墙及DNS是否被污染等等功能、更是拥有独家检测网站真实的完全打开时间、让你作为站长能清楚的知道自己网站的健康情况!
官方图在这里插入图片描述在这里插入图片描述

官方地址:IIS7网站监控

近期有多款软件用户密集反映360“误报了软件的升级程序”,但事实上,这些软件的升级程序已经被不法分子恶意替换。
下图就是一例爱奇艺客户端升级程序被劫持的下载过程:可以看到服务器返回了302跳转,把下载地址指向了一个并不属于爱奇艺的CDN服务器地址,导致下载回来的安装包变为被不法分子篡改过的推广程序。
此次被劫持升级程序的流行软件远不止爱奇艺一家,下图就是一些由于网络劫持而出现的“假软件”。
以下,我们以伪造的百度网盘安装程序 “BaiduNetdisk_5.5.4.exe”为例分析一下恶意程序的行为。在这里插入图片描述

与正常的安装程序相比,该程序不具备合法的数字签名,并且体积较大。
通过对比可以发现,两者在内容上还是有较大差别。两者只有8.7%的函数内容相同。
程序最初执行时会从从资源段中释放一个PE文件并执行,该文件就是程序所伪装的正常安装包。因此,该伪装程序是在运行正常安装包的同时静默安装其他推广程序。在正常安装包运行时,本程序会读取bjftzt.cdn.powercdn.com站点的子目录下的一个dat文件的内容,dat文件路径根据安装程序不同而不同,本文分析的程序“BaiduNetdisk_5.5.4.exe”所读取的是bjftzt.cdn.powercdn.com/upc/20170329/2A7BF0576BE7380A30B8669182226FBD.dat。程序请求数据包内容
所读取的dat文件的内容
dat文件中的内容经过base64+DES加密。DES密钥经过简单加密后硬编码在程序中,下图展示了DES密钥的解密过程:
解密后得到的DES密钥为“eh9ji8pf”。经分析发现多款伪装程序使用同一个DES密钥。
之后程序对dat文件的内容进行base64+DES解密,解密函数
解密后得到的文件内容如下图所示。不难看出,文件内容为一个配置列表,列表中包括多个需要推广的应用程序名称、应用程序下载链接、程序启动参数、卸载对应的注册表项等信息:
之后程序会从配置列表中选取一个推广程序的下载链接,下载推广程序并安装在受害者电脑上:
而以上流氓推广行为完成后,安装包会回归到原始的正常安装流程,以此来掩人耳目。
根据360安全卫士的持续监控和拦截,该劫持行为从今年3月底就已经开始出现,360一直在持续跟进查杀,近日来则突然出现了爆发趋势,为此360安全卫士官方微博公开发布了警报。
7月4日,也就是在360发布软件升级劫持攻击警报后,此类攻击行为出现了一定程度下降。
根据已有数据统计显示,受到此次劫持事件影响的用户已经超过百万。而这些被劫持的用户绝大多数来自于山东地区。另外,山西、福建、浙江、新疆、河南等地也有一定规模爆发。
在此提醒各大软件厂商,软件更新尽量采用https加密传输的方式进行升级,以防被网络劫持恶意利用。


本文链接: http://www.dtmao.cc/news_show_600272.shtml

附件下载

相关教程

    暂无相关的数据...

共有条评论 网友评论

验证码: 看不清楚?