从“叮叮天气”挂马事件揭秘互联网暗刷黑产“蛇头”

发表于:2016-01-15 10:30:00 来源: 黑客与极客 阅读数(0人)

1)概括


从2015年11月30号开始,阿里巴巴安全威胁情报中心“千里眼”系统监控到一个高级样本(CVE-2015-5119)挂马攻击,中招的电脑会被静默安装大量推广软件。这些被安装的推广软件会像蚂蝗一样吸附在中招的电脑上,然后这些推广软件又会安装其他推广软件甚至是恶意软件,形成一个恶性循环。


通过溯源分析后,我们发现互联网上有近1500万独立IP受此次挂马事件影响,并发现“叮叮天气”客户端软件、“垃圾站群”、“PCLADY知名网站”等会引导流量到挂马页面,从而使得网站用户遭受挂马攻击。而整个挂马攻击过程中,实际上存在一个“蛇头”角色,他把黑客、网站主、广告主、CPA插件联盟、运营商从业人员等人聚集在一起,进行非法地“流量变现”交易,甚至利用Nday攻击互联网用户来谋取暴利。


2)“叮叮天气”暗藏玄机


1、mini新闻页面变卖流量


“叮叮天气”桌面软件推送mini新闻页面,把海量PC流量变卖给“暗刷”产业。除“叮叮天气”软件外,另外发现“垃圾站群”、“PCLADY知名网站”等也被“暗刷”产业用来牟利。


img

2、 天气软件劫持知名网站


参考:http://www.freebuf.com/articles/terminal/90302.html


3)“叮叮天气”挂马事件溯源分析


1、“千里眼”监控体系


从2015年11月30号开始,“千里眼”系统频繁地监控到CVE-2015-5119挂马攻击,该告警并在12月4号上升到一个小高峰。


img

通过分析挂马样本,我们很快发现“叮叮天气”等挂马源并发现这个挂马页面访问统计代码。通过页面访问统计数据,我们了解到互联网上有大量用户受到此次“叮叮天气”挂马攻击。


img

通过长期追踪,我们找到了“叮叮天气”挂马事件幕后黑手以及互联网“暗刷”产业蛇头一族。


2、挂马手法溯源


a) 分析文件防病毒日志和流量检测日志定位到挂马页面地址:http://172.87.29.51/37FSDFSD5756FADS0fsdaGame.swf


文件MD5:a2faa78759fb09d1f5ed30e3280f953e


b) 构造CVE-2015-5119漏洞环境,分析该shellcode行为


发现漏洞在windows平台触发后从URL:http://74.126.180.170:666/smcc.exe下载一个PE文件并运行 ,并从URL:http://87.29.51/1.txt获取推广软件安装列表,然后静默安装。


c) 模拟安装叮叮天气,发现exe进程会主动访问74.126.180.170。并发现ddwExternal.exe进程启动参数包含一个mini新闻页面。


"C:\Users\{user}\AppData\Local\ddweather\ddwExternal.exe" /width=307 /height=251 /logo=0 /timeout=300 /url=http://www.77zn.com/wmini/?cache=555 /Start

d) 使用firefox访问http://www.77zn.com/wmini/?cache=555发现这个http://172.87.29.51/37FSDFSD5756FADS0fsdaGame.swf挂马页面


img

e) 使用httpfox分析流量日志查看http头referer值,看到挂马页面来路是http://172.87.29.51/37g.htm


img

img

f) 对37g.htm进行url解码,发现把恶意的swf 前端显示长度和宽度设置为0来隐藏


img

g) 分析到37g.htm页面来源是:http://www.wo560.com/anshua.htm


img

h)分析http://www.wo560.com/anshua.html页面源码


img

发现是4个百度推广代码;


百度推广挂马参考:http://www.wooyun.org/bugs/wooyun-2010-044726


i) 分析百度推广ID:1167760


图3.9:分析百度推广ID:1167760


img

j) 分析http://www.77zn.com/wmini/?cache=555页面源码


img

发现百度推广ID :1167736,跟踪之


img

发现百度推广ID :1167736会跳转到http://www.wo560.com/anshua.html页面


k) 至此挂马手法应该是分析清楚了


http://www.77zn.com/wmini/?cache=555利用百度推广:1167736跳转到


http://www.wo560.com/anshua.html利用百度推广:1167760跳转到


http://172.87.29.51/37g.htm 伪造大战神广告页面,嵌入CVE挂马地址


http://172.87.29.51/37FSDFSD5756FADS0fsdaGame.swf 从远程下载PE文件执行


http://74.126.180.170:666/smcc.exe(实际上是一个CPA插件,功能类似于下载者)获取推广软件地址列表,并安装


http://172.87.29.51/1.txt


3、暗刷产业“蛇头”溯源


a) 在http://172.87.29.51/37g.htm找到la统计ID:18659367,访问http://www.51.la/?18659367报表未公开,获得信息:用户网站【tj】


b) 在http://172.87.29.51/TJ.htm找到la统计ID: 18660602,访问http://www.51.la/?18660602,报表公开,获得信息:51la登陆账号antantj


c) 猜测antantj账号密码,通过简单密码登陆


img

d) 持续观察antantj账号访问统计“来路”报表,发现新增来路:ushang123.com


img

进行分析


http://www.ushang123.com/v.php?id=314&%3Bp=aj0xJm09MCZmPTAmcj1odHRwJTNBJTJGJTJGd3d3Lmhhb3NvdS5jb20lMkZzJTNGcSUzRCUyNUU1JTI1OUMlMjVBOCUyNUU3JTI1QkElMjVCRiUyNUU4JTI1QTclMjU4MiUyNUU3JTI1OUMlMjU4QiUyNUU3JTI1QkQlMjU5MSUyNnBuJTNENSUyNnBzaWQlM0RjZGZkMTAwOTVjOGYyZjZ

在该页面发现一段js链接:http://www.ushang123.com/js/tj.js


f) 分析http://www.ushang123.com/js/tj.js


发现代码:


/*流量变现 2091866136*/


http://58.229.130.36/qudao2.htm


g) 关联virustotal关联发现几乎一样的CVE-2015-5119


img

http://58.229.130.36/37DFSD5756FADS09fsdaGame.swf


https://www.virustotal.com/en/ip-address/58.229.130.36/information/


h) 通过google搜索QQ:2091866136


img

img

至此可以确定 /*流量变现 2091866136*/ 跟此次“叮叮天气”挂马事件有很大关系。


i) 对QQ:2091866136 进行分析,发现密码手机133******34


img

j) 对“年终冲量 【百万现金】网页收暗刷量”进行搜索发现不少帖子,在http://www.a5.net获取到一些信息:


账号37game


手机:151****8711


2091866136@qq.com


注册时间2015-11-29 21:58


k) 扮演“出量”角色,与“蛇头”聊天


img

img

img

l) 梳理下聊天内容,大概得到以下信息。


1W IP访问量给15元;(对于100W/天“出量”的,一天能够变现1500元人民币)


日结算,第二天9点~11点结算前一天的,不支持预付;(早上9点就起床,应该是团队作案)


4)“暗刷”产业简介


1、“暗刷”黑色产业的黑话


流量变现:是指将网站流量通过某些手段实现现金收益。


收量:是指以一定价格与手头有网站流量的人(网站主、黑客、运营商、系统运营人员等)进行交易。


出量:又叫放量,是指把网站流量通过非法的手段进行流量变现,一般会出售给“暗刷”产业。


暗刷:这里的“暗刷”是指广告联盟/插件联盟暗刷,其利用html/javascript语言特性插入一些页面内嵌/跳转代码,使得web前端不会展示代码运行效果,但后端会偷偷的运行广告代码甚至是恶意代码。


2、“暗刷”产业状态


a) 互联网论坛和QQ群上“暗刷”产业已经是明目张胆


b) Nday成为“暗刷”产业牟利工具


c) "蛇头" 与不良网站主为“暗刷”产业推波助澜


5)附录


1、CVE-2015-5119 样本hash列表:


img

2、CVE-2015-5119 C&C列表:

172.87.29.50/37FSDFSD5756FADS09fsdaGame.swf
172.87.29.51/37FSDFSD5756FADS0fsdaGame.swf
58.229.130.36/37DFSD5756FADS0fsdaGamee.swf
58.229.130.36/37GameSDF8686O.swf
222.186.50.213/exp1.swf
182.254.158.146:909/exp1.swf

相关新闻

大家都在学

课程详情

逆向工程

课程详情

恶意代码原理

课程详情

网络安全事件