HTTPS劫匪木馬暴力更新：破壞ARK攻擊殺軟

本文講的是<b>HTTPS劫匪木馬暴力更新：破壞ARK攻擊殺軟</b>，目前，越來越多的網站開始注冊證書，提供對HTTPS的支援，保護自己站點不被劫持。而作為對立面的流量劫持攻擊，也開始将矛頭對準HTTPS，其中最常見的一種方法便是僞造證書，做中間人劫持。

不久前，360釋出了《“移花接木”偷換廣告：HTTPS劫匪木馬每天打劫200萬次網絡通路》的相關預警。近日，360網際網路安全中心又發現一款名為“跑跑火神多功能輔助”的外挂軟體中附帶的劫持木馬，該木馬可以看作是之前劫持木馬的加強版，其運作後加載RootKit木馬驅動大肆劫持導航及電商網站，利用中間人攻擊手法劫持HTTPS網站，同時還阻止常見ARK工具（Anti-Rootkit，檢測清除核心級木馬的專業工具）運作，破壞殺軟正常功能。

圖1

根據我們的資料分析，該木馬不僅存在于多種外挂軟體中，同時也包含于網絡上流傳的衆多所謂“系統盤”中。一旦有人使用這樣的系統盤裝機，就等于是讓電腦裝機就感染了流量劫持木馬。

子產品分工示意圖：

圖2

作惡行為：

1、進行軟體推廣：

程式中寫死了從指定位址下載下傳安裝小黑記事本等多款軟體：

圖3

圖4

2、破壞防毒軟體：

通過檢測檔案pdb檔案名資訊來檢測判斷Ark工具，檢測到後直接結束程序并删除相應檔案，如圖所示檢測了：PCHunter(原XueTr)、WinAST、PowerTool、Kernel Detective等，和所有頑固木馬一樣，HTTPS劫匪也把360急救箱列為攻擊目标。

圖5

删除殺軟LoadImage回調：

圖6

圖7

阻止網盾子產品加載,其阻止的清單如下：

圖8

3、進行流量劫持

木馬會雲控劫持導航及電商網站，利用中間人攻擊手法，支援劫持https網站

圖9 中間人攻擊示意圖

驅動調用BlackBone代碼将yyqg.dll注入到winlogon.exe程序中執行,

圖10

BlackBone相關代碼：

圖11

yyqg.dll還會導入其僞造的一些常見網站的ssl證書，導入證書的域名清單如下：

圖12

替換的百度的SSL證書:

圖13

圖14

通過雲控控制需要劫持網站及劫持到目标網站清單：雲控位址采用的是使用DNS:114.114.114.114（備用為：谷歌DNS：8.8.8.8以及360DNS：101.226.4.6）解析dns.5447.me的TXT記錄得到的連接配接：

擷取雲控連接配接位址部分代碼：

圖15

圖16

圖17

使用Nslookup查詢dns.5447.me的TXT記錄也和該木馬解析拿到的結果一緻：

圖18

最終得到劫持清單位址：http://h.02**.me:97/i/hijack.txt?aa=1503482176

劫持網址清單及跳轉目标連接配接如下圖，主要劫持導航及電商網站：

圖19

驅動讀取網絡資料包：

圖20

發送控制指令：

圖21

驅動層過濾攔截到網絡資料包傳回給應用層yyqg.dll, 應用層yyqg.dll讀取到資料解析後根據雲控清單比對資料然後Response一段：

&lt;meta http-equiv="refresh" content="0; url = %s"/&gt; 自動重新整理并指向新頁面的代碼

（http-equiv顧名思義，相當于http的檔案頭作用）

圖22

被劫持後給傳回的結果：自動重新整理并指向新頁面:http://h.02**.me:97/i

圖23

不是搜狗浏覽器則跳轉到:http://www.hao774.com/?381**,至此就完成了一個完整劫持過程。

圖24

圖25

劫持效果動圖(輕按兩下打開)：

圖26

同時為了防止劫持出現無限循環劫持，其還做了一個白名單清單主要是其劫持到的最終跳轉頁面連接配接，遇到這些連接配接時則不做劫持跳轉。

http://h.02**.me:97/i/white.txt?aa=1503482177

圖27

圖28

傳播：

除了遊戲外挂外，在很多Ghost系統盤裡也發現了該類木馬的行蹤，且木馬利用系統盤傳播的數量遠超外挂傳播。使用帶“毒”系統盤裝機，還沒來得及安裝防毒軟體，流量劫持木馬便自動運作；另外，外挂本身的迷惑性，也極易誘導中招者忽視殺軟提示而冒險運作木馬。

正因木馬宿主的特殊性，使得該類流量劫持木馬的感染率極高。據360近期的清除資料顯示，由于系統自帶木馬，或忽略安全軟體提示運作帶毒外挂的受害使用者，已經高達數十萬之多。

圖29

圖30 

圖31

再次提醒廣大網民：

1.謹慎使用網上流傳的Ghost鏡像，其中大多都帶有各種惡意程式，建議使用者選擇正規安裝盤安裝作業系統，以免自己的電腦被不法分子控制。

2.非法外挂軟體“十挂九毒”，一定要加以警惕，特别是在要求必須退出安全軟體才能使用時，切不可掉以輕心；

3.安裝作業系統後，第一時間安裝防毒軟體，對可能存在的木馬進行清除。上網時遇到防毒軟體預警，切不可随意放行可疑程式。

原文釋出時間為：2017年9月7日

本文來自雲栖社群合作夥伴嘶吼，了解相關資訊可以關注嘶吼網站。

<a href="http://www.4hou.com/technology/7579.html" target="_blank">原文連結</a>