2015年12月16日16时开始, 360安全中心监测到大量用户在访问百度 、腾讯、爱奇艺等国内主流网站时,遭遇漏洞挂马攻击, 受影响的用户日均超过30万,次数达到每天近两千万次。
360安全中心对此进行了深入分析和追踪后发现,该问题并非是这些大型网站遭到挂马攻击,而是一款广告软件:“叮叮天气”从中作祟。
叮叮天气是一款号称桌面天气的软件,在通过捆绑等方式进入用户电脑后,其会注入代码到IE浏览器和CHROME核心的浏览器中,当这些浏览器访问特定的网站时(包括百度、腾讯、网易、新浪、爱奇艺等知名的娱乐、军事、新闻类网站),叮叮天气注入的代码会从其服务器上拉取广告代码并显示
从16日开始,叮叮天气拉取并插入浏览器进行劫持的广告中一个伪装成“大战神”的广告包含了漏洞挂马代码,导致用户在访问这些被劫持知名网站时,被漏洞挂马攻击
当用户被弹出包含漏洞挂马的广告页面时,会触发网站上的漏洞攻击代码,可能导致用户电脑被安装恶意程序,并受到恶意程序控制, 包括同时“被安装”数十款流氓软件。
由于被捆绑安装了叮叮天气的用户量很高,而它又劫持了上百家知名网站并对其插入广告,因此感染人数众多,从目前挂马网站的统计数据来看,仅16日,受该挂马网站攻击的用户就达到了37万,总次数达到了1986万次。
如图,下面是恶意广告商利用广告联盟推广的伪装“大战神”广告,当浏览这些网站弹出这类广告时,实际后台已经加载了恶意的漏洞样本,针对用户进行攻击。
技术分析:
以Chrome核心的浏览器为例,当安装了叮叮天气后,叮叮天气会向浏览器安装一个插件: ddtianqi_dep.crx,该插件和其辅助程序NaMsg.exe配合, 启动ddweather.exe程序。
当浏览器访问任意网站时,例如user.qzone.qq.com时,叮叮天气的插件会向http://www.51bgz.com/1001 发送请求, 该网站会自动下发一个JS文件, 插件将该JS嵌入到当前网站中运行,关键代码如图:
接着,被嵌入的JS检测当前网站是否在要劫持的知名娱乐、新闻、军事类网站列表中,如果存在,就从CNZZ上拉取广告运行
下面是部分被劫持的网站列表判断代码:
在CNZZ上拉取得广告会访问http://www.wo560.com/anshua.html页面,使用iframe将该页面嵌入运行:
该页面包含了4条百度广告,其中ID为1167760的百度联盟广告中,包含了最终的漏洞攻击页面的代码:
Anshua.html (暗刷)页面的代码
抓包发现百度广告联盟返回含有最终恶意攻击代码的广告页面:http://172.87.29.51/37g.htm
该用于最终漏洞攻击的广告页面会加载一个SWF文件(http:// 172.87.29.51/37FSDFSD5756FADS0fsdaGame.swf),该FLASH文件会利用Adobe Flash的NDAY漏洞CVE-2015-5119 漏洞,下载并安装恶意程序。
下面是swf文件的部分漏洞利用关键代码:
{
prototype.valueOf = function (){
var _local_1:int;
logAdd("MyClass.valueOf()");
_va = new Array(5);
_gc.push(_va);
_ba.length = 0x1100;
while (_local_1 < _va.length) {
_va[_local_1] = new Vector.<uint>(1008);
_local_1++;
};
return (64);
};
}使用360安全产品可防御该SWF的攻击,通过VirusTotal显示,多家国内外安全软件可检测该SWF文件, 但国内仅有360和瑞星可检测和拦截:
当恶意的SWF文件成功触发漏洞后,会从其木马网站上下载sever.exe并运行,该程序是一个恶意下载者,会从木马网站下载多款软件进行强制安装从而赚取推广佣金,包括:
金山毒霸
USB宝盒
80易关机
小福日历
广告拦截大师/净网大师
波波游戏
钰财购物比价助手
万能WIFI
暴风游戏盒子
等, 使用360安全产品可防御该木马下载者及其推广的流氓软件:
通过分析发现,该挂马网站包含了一个统计后台,实时统计木马的传播情况,在统计平台上,可以初步观察到该挂马网站的通过广告联盟,再经由这些主流网站传播的数量:
可以看到,仅16日(昨日)一天,访问挂马页面的次数就达到了惊人的1986万次, 人数达到37万次,截止今日21点,挂马网站仍在活跃, 访问次数已经达到了1465万,36万用户受到攻击,每天新遭受攻击的用户在十万以上。
下面是被该广告插件劫持的网站完整列表:
"www.4399.com"
"v.youku.com"
"www.letv.com"
"tv.sohu.com"
"www.tudou.com"
"t.qq.com"
"sports.sina.com.cn"
"news.4399.com"
"www.ku6.com"
"www.ce.cn"
"xyx.hao123.com"
"4399.iqiyi.com"
"www.youyuan.com"
"picture.youth.cn"
"news.xinhuanet.com"
"www.soku.com"
"news.k618.cn"
"photo.gmw.cn"
"economy.gmw.cn"
"sports.qq.com"
cheshi
"news.youth.cn"
"www.chinanews.com"
"www.docin.com"
"news.china.com.cn"
"mil.sohu.com"
"www.wasu.cn"
"vod.kankan.com"
"sports.163.com"
"www.doc88.com"
"www.m1905.com"
"www.xxhh.com"
"www.baxue.com"
"www.3jy.com"
"www.jide123.com"
"www.junshi.cc"
"www.4399dmw.com"
"www.gexing.com"
"yule.2258.com"
"www.tianyi176.com"
"www.cxzww.com"
"www.211js.com"
"bbs.xinjunshi.com"
"www.guoman8.com"
"www.readnovel.com"
"bbs.miercn.com"
"www.23us.com"
"bbs.qianyan001.com"
"www.milnews2.com"
"photo.haiwainet.cn"
"pic.jrj.com.cn"
"www.cnrexue.com"
"tuku.military.china.com"
"xiao.39yst.com"
"www.junqing123.com"
"www.23hh.com"
"video.baomihua.com"
"www.juyouqu.com"
"www.mahua.com"
"www.top81.com.cn"
"www.fxingw.com"
"www.66721.com"
"www.epzw.com"
"www.u8xs.com"
"bbs.tiexue.net"
"qzone.qq.com": 395349,
"s.taobao.com"
"item.taobao.com"
"user.qzone.qq.com",
"mail.qq.com",
"www.sj88.com",
"news.ifeng.com",
"car.autohome.com.cn",
"www.iqiyi.com",
"news.qq.com",
"mp.weixin.qq.com",
"quote.eastmoney.com",
"www.zb8.com",
"ent.qq.com",
"mail.163.com",
"www.58pic.com",
"guba.eastmoney.com",
"www.autohome.com.cn",
"rc.qzone.qq.com",
"www.sohu.com",
"www.leitingcn.com",
"www.biquge.la",
"www.bdxyjz.com",
"news.sohu.com",
"fashion.qq.com",
"www.qulishi.com",
"www.9yaocn.com",
"gu.qq.com",
"blog.ifeng.com",
"car.bitauto.com",
"fund.eastmoney.com",
"www.zhibo8.cc",
"bbs.tianya.cn",
"fashion.ifeng.com",
"ent.ifeng.com",
"preview.mail.163.com",
"www.weather.com.cn",
"www.bilibili.com",
"s.weibo.com",
"mil.news.sina.com.cn",
"news.haiwainet.cn",
"v.ku6.com",
"www.7k7k.com",
"news.docer.com",
"bbs.qtv.com.cn",
"pic.chinadaily.com.cn",
"cpro.baidu.com"
还没有评论,来说两句吧...