本文講的是潘多拉魔盒開啟:全國多省爆發大規模軟體公升級劫持攻擊,
不久前,petya勒索病毒變種在烏克蘭爆發,並蔓延到歐洲多個國家的大型企業。病毒攻擊的根源是劫持了烏克蘭專用會計軟體me-doc的公升級程式,使使用者更新軟體時感染病毒,從而對眾多企業的系統和資料造成慘重損失。
劫持軟體公升級「投毒」並不是新鮮的攻擊手法,國內也屢有發生。但就在petya勒索病毒變種轟動全球後短短數天時間內,山東、山西、福建、浙江等多省的軟體公升級劫持達到空前規模,360安全衛士對此類攻擊的單日攔截量突破40萬次!
儘管國內的軟體公升級劫持目前僅僅被利用流氓推廣軟體,但是大規模的網路劫持、大量缺乏安全公升級機制的軟體,如果再加上「商業模式」非常成熟的勒索病毒,無疑會造成災難性後果。
事件還原
近期有多款軟體使用者密集反映360「誤報了軟體的公升級程式」,但事實上,這些軟體的公升級程式已經被不法分子惡意替換。
此次被劫持公升級程式的流行軟體遠不止愛奇藝一家,下圖就是一些由於網路劫持而出現的「假軟體」。
圖2 被網路劫持替換的「假軟體」
與正常的安裝程式相比,該程式不具備合法的數字簽名,並且體積較大。
圖3 被篡改的偽裝安裝程式
圖4 正常的安裝程式
通過對比可以發現,兩者在內容上還是有較大差別。兩者只有8.7%的函式內容相同。
圖5 偽裝安裝程式和正常安裝程式函式對比
程式最初執行時會從從資源段中釋放乙個pe檔案並執行,該檔案就是程式所偽裝的正常安裝包。因此,該偽裝程式是在執行正常安裝包的同時靜默安裝其他推廣程式。在正常安裝包執行時,本程式會讀取bjftzt.cdn.powercdn.com站點的子目錄下的乙個dat檔案的內容,dat檔案路徑根據安裝程式不同而不同,本文分析的程式「baidunetdisk_5.5.4.exe」所讀取的是bjftzt.cdn.powercdn.com/upc/20170329/2a7bf0576be7380a30b8669182226fbd.dat。程式請求資料報內容如下圖所示:
圖6 請求資料報內容
所讀取的dat檔案的內容如下圖所示:
圖7 dat檔案內容
dat檔案中的內容經過base64+des加密。des金鑰經過簡單加密後硬編碼在程式中,下圖展示了des金鑰的解密過程:
圖8 des金鑰解密過程
解密後得到的des金鑰為「eh9ji8pf」。經分析發現多款偽裝程式使用同乙個des金鑰。
之後程式對dat檔案的內容進行base64+des解密,解密函式如下圖所示:
圖9 解密函式
圖10 解密後的dat檔案內容
而以上流氓推廣行為完成後,安裝包會回歸到原始的正常安裝流程,以此來掩人耳目。
根據360安全衛士的持續監控和攔截,該劫持行為從今年3月底就已經開始出現,360一直在持續跟進查殺,近日來則突然出現了爆發趨勢,為此360安全衛士官方微博公開發布了警報。
7月4日,也就是在360發布軟體公升級劫持攻擊警報後,此類攻擊行為出現了一定程度下降。
圖12 網路劫持量走勢
根據已有資料統計顯示,受到此次劫持事件影響的使用者已經超過百萬。而這些被劫持的使用者絕大多數來自於山東地區。另外,山西、福建、浙江、新疆、河南等地也有一定規模爆發。
圖13 被劫持使用者地域分布
在此提醒各大軟體廠商,軟體更新盡量採用https加密傳輸的方式進行公升級,以防被網路劫持惡意利用。
原文發布時間為:2023年7月6日
開啟潘多拉的盒子
既然都說plotly是最好的資料視覺化庫,沒有之一,那這匹烈馬為什麼在redash的馴服下像乙隻小貓呢?資料展現力甚至不如某chart和某寶的antv。經過達之資料工程師和redash原版團隊的深入溝通,答案在這裡。原來redash定位為普及型資料視覺化生產力工具,力求降低門檻,人人都可大資料的目標...
開啟 不明確行為 的潘多拉盒子 解釋
由於編譯器會為使用者自定義型別 user defined types 之成員變數自動呼叫 default 建構函式一一如果那些成員變數在 成員初值列 中沒有被指定初值的話,因而引發某些程式設計師過度誇張地採用以上寫法。那是可理解的,但請立下乙個規則,規定總是在初值列中列出所有成員變數,以免還得記住哪...
誰開啟了便攜筆記本的潘多拉盒子
自從華碩推出eee pc,hp acer dell都在近期推出自己的便攜筆記本,有人將便攜筆記本定位為超低價筆記本,其實便攜筆記本與低價筆記本是兩個概念,如果只論低價,國內神州膝上型電腦並不一定高過華碩的eee pc,老杳倒寧願稱作便攜筆記本,因為這些低價便攜筆記本的市場定位是便攜,雖然有些便攜筆記...