2000P's Blog

最初のページ

テンセント安全アンチウイルス実験室:「掛け馬」の最新の生産態勢を明らかにする。

著者 shavor 時間 2020-03-26
all

要約

テンセントの安全アンチウイルス実験室の監視測定によると、最近は大量の「馬をかける」攻撃があり、影響を受ける地域が広く、全国31の省に及んでいる。

伝播方式は「大駅広告の掛け馬」と「自主運営サイト」などに分けられています。

攻撃の普及過程において、国内、国外のサーバーを組み合わせて使用し、国内審査を回避し、「ドメイン名移転通知」を利用して、ユーザーを国外の毒サーバーに訪問させる。

収益モデルを攻撃するには、主にダウンロードプロモーションソフトとゲームアカウントを盗むことによって、収益性が高いです。

テンセントの安全アンチウイルス実験室は木馬のオンライン流量の特徴によって、いくつかの家族と変種木馬を捕獲しました。同時にこれらの特徴を持続的追跡メカニズムに用いて、態勢感知を確立して、第一時間に新たな脅威を発見することを確保します。

先日、テンセントの安全アンチウイルス実験室はウェブページの広告を通じて馬をかける方式で伝播する悪意のあるプログラムを分析しました。木馬はエロリンク広告を通じてユーザーを誘導してクリックした後、被害者のコンピュータに裏口を追加しました。

実は、最近、大手サイトや「激情動画」などのプチサイトを通じて実施された「掛け馬」の攻撃が、新たな展開を見せています。騰訊コンピュータ管理者とハッブルシステムの脅威感知データを結合して、私達はこれに対して、伝播方式、攻撃目標、収益モデルなどの方面での攻撃の変化を研究し分析しました。

一、全体の態勢

この攻撃は約1年間続いています。パyload 15件、ドメイン名72件、感染は全国31省に及んでいます。

二、伝播ルート

今回の攻撃は2016年7月に開始されました。実際の感染量は現在観測されている10 W台のPCをはるかに超えるかもしれません。ハッブル大データは予測しています。最悪の場合、木馬の感染量は200 Wに達するかもしれません。

1.サスペンション方式

ありふれた掛け馬の方式はありますか?

このような方法は破壊力が大きいですが、目的のウェブサイトには抜け穴があります。

広告の位置は毒を投げて、引き続き挂け马に侵入した后に、威力の悪くないしかも技术のコストの高くない方式、しかし投入の资源は多すぎます。

DNSは正常なウェブサイトをハイジャックして毒を投げて、深刻な安全事件、出会う回数は多くありません。

新しい掛け馬の方式:“自分で運営します”、自分で馬に掛かるウェブサイトを建設して、それから自分で広めて、更に簡単で、効率的です。

2.「大駅広告掛け馬」の流れ分析

トロイの木馬グループは、大手サイトに広告を投稿することによって、広告審査の厳格ではないいくつかのサイトを利用して、自分の毒を帯びたウェブページのコードをユーザーに展示し、ユーザー側のブラウザの穴を触発し、広範囲に伝播する目的を達成します。

影響を受けたウェブサイトのタイプ分布は以下の通りです。

今回の攻撃は主にCV-2016-0189を使用しています。他の脆弱性に比べて、CVE-2016-0189は宿主プログラムの崩壊を起こさず、安定的に利用し、効率が非常に高いです。

その中の何回かの影響範囲が大きい掛け馬事件は次の通りです。

CVE-2014-6332とCVE-2016-0189の二つの脆弱性はwindowsのパッチポリシーに制限されています。まだ多くのPCシステムが攻撃にさらされています。例えば、去年のハッブルの態勢感知監視による二回の広範囲の侵入式掛け馬はこの二つの穴を利用して伝播しています。同時に、CVE-2016-0189は16年第4四半期から、広さが明らかに向上しました。

今回捕獲された脆弱性の影響を受けたオペレーティングシステムとIEバージョンの分布:

3.「自主運営掛け馬」の流れ分析

伝播過程でドメイン名が64件あり、分析したところ、伝播ドメイン名は2種類に分けられている。

A類、伝播類ドメイン名、国内で、内容は無毒で、普及に便利です。

B類、ウイルス内容系ドメイン名は、米国にあり、脆弱性のある利用コードです。

検索エンジンを使って、キーワードでAドメイン名を検索できます。

ユーザーが訪問した後、「ドメイン移行の注意喚起」という方式でユーザーをBドメインに訪問させる。

Bクラスのサーバは米国にあり、ユーザーが訪問した後、ホール実行をトリガする。

作者は感染量を増やすために、矢と矢の両方を使って伝播しています。ブラウザに穴がなくても、偽造したプレーヤーをダウンロードしてウイルスを広めるようにユーザを導いてくれます。

関連する部分伝播ドメイン情報は以下の通りである。

分析によって、「挂け马」攻撃の伝播方式は、技术的敷居の低い「自己运営」モードを生み出しており、このモードは外部环境の影响が小さいため、他のウェブサイトの脆弱性に依存せず、広告チャネルに依存せず、広い范囲での普及に适していることがわかった。

三、Payload分析

1.Payloadの全体の流れは以下の通りです。

 

jmqle.exeとxfplay 01.exeは木馬集団の母体です。

起動後に駆動を解放します。「ランダム名.ex」は元のシステムの保護を透過し、userinitをハイジャックして自動起動を実現します。

環境が整ったらuserinit.exeをリリースします。http://mmc.xxxxxxxx.com:81/xx/in10.txtのアドレスリストをダウンロードして悪行します。

PayLoad 15個に関して、機能は以下の通りである。

その中の5.exeを例にとって、この木馬はある有名なブログの住所の中の個人ページをC&Cサーバの住所として、文章をアップロードする方式を通じて木馬の行為を制御して、木馬はページにアクセスして文章の内容を獲得して、それをコントロールコマンドのデータに変換します。

最終的に得られたデータは以下の通りです。

木馬はこれらの配置を利用して被害者のブラウザを制御して、支払っているホームページを木馬の作者の自分で建てたxxxxzhifub.topウェブサイトにリダイレクトして、被害者の支払いデータを傍受して、中から巨額の利益を盗み取ります。

2.流量検出

トロイの木馬攻撃中、トロイの木馬接続C&Cサーバーの流量パッケージは以下の通りです。

類似流量の整理により、関連するC&C 10個が発見されました。

著者は他の統計サイトからデータを取得することを防止するために、すべてのウイルスサーバーは非デフォルトのhttpポートを使用しています。例えば、81,808などです。

3.Payload変化の法則

Payload接続C&Cサーバーの流量パッケージの特徴によって、さらに検索分析してみると、Payloadの作者の作品はまだ以下のいくつかあり、機能は上記の分析と本質的な違いはないが、広く普及していない。

アップロード時間から観察すると、広範なサンプルの普及よりも遅くなります。おそらく著者は次のラウンドのために準備しています。

四、収益力分析

現在の木馬集団の収益モデルは四つあります。

収益モデル1、友達ソフトを偽造して、ユーザーを騙してチャージする。

収益モデル2、博彩類ソフトを普及させる毎日将棋ゲームセンター

この種のペイントソフトの収益に関するインストール費用の実例は以下の通りである。

収益モデル3、プロモーションソフト

被害者のパソコンに各種のプロモーションソフトをインストールすることで、ソフトプロモーション事業者から分離する。

収益モデル4、ゲームアカウントを盗む

馬を切って駅長を洗って号、金貨の販売などの下流の一環に参与しないと仮定して、直接にアカウントの情報を売って利益を得ます。

ある有名なオンラインゲームを例にとって、洗い終わったアカウントは等級フィルタを通ります。

85級以上の価格:2.8元で一つです。

40級以上の価格:1.8元で一つです。

フィルタなしの価格:一つのアカウントは0.2-0.5元です。

試算によると、ゲームの黒産は黒産の黒字に占める割合が明らかに上昇し、ソフトの普及を超えて、安定して第一位の椅子に座りました。これは近年のゲーム産業の盛んな発展と切っても切れない関係があります。

五、フォローを続ける

1.流量検査は引き続きフォローします。

すでに収集されているC&Cサーバーは、監視対象として継続的にフォローされています。

木馬は今も活発な状態です。

2.Payloadは引き続きフォローします。

これらの収集したPayloadサンプルはまたリアルタイムでハッブルの動的分析システムに入って分析します。

より多くの流量特徴を抽出し、反哺態勢の感知を行い、第一時間で新たな脅威を発見し、ユーザーの安全を保護する。

3.牧師がフォローし続ける

また、牧畜者の最新動向についても、私たちは引き続き追跡します。Payload、C&C、牧馬人の動態を結び付けて、立体的な態勢の感知を創立します。

六、まとめ

1.伝播傾向の変化

サスペンション方式の技術的なハードルも次第に低くなり、サスペンションに侵入してきたDNSハイジャックなどの技術的な敷居が高い方法で「自己運営」の方式に変化してきました。

2.収益方式の変化

ブラックゲームの生産は黒字の中で明らかに上昇しています。ソフトの普及を超えて、安定して第一の椅子に座っています。これはここ数年のゲーム産業の盛んな発展と切っても切れない関係があります。

*本文の作者:騰訊電脳執事、転載はFreeBuf.COMから来てください。