모방 소프트웨어, 웹 사이트 하이재킹, 광고 삽입, 개인 정보 도용, 그가 두려워하는 또 다른 일은 무엇입니까?

 

상황 개요

최근 360도 정부 기업 보안은 웹 사이트 방문시 강제로 광고가 삽입되어 일부를 닫을 수 없다는 사용자 피드백을 많이 받았습니다. 분석 결과 일부 악성 브라우저 확장 프로그램은 일반적으로 방문하는 웹 사이트에 광고를 강제하는 것으로 나타 났으며, 추가 추적 가능성은 이러한 브라우저 확장 프로그램의 소스가 주로 검색을 통해 홍보 된 악성 다운로더 소프트웨어에 의해 운반 및 설치되는 것으로 나타났습니다. 이러한 다운로더를 분석 한 결과, 악성 다운로더가 사무실, 산업, 디자인 및 미디어와 같은 일반적인 유형을 포함하는 3,500 개 이상의 소프트웨어를 모방 한 것으로 나타났습니다. 출시 후 브라우저에 악성 확장 프로그램을 자동으로 설치합니다. 광고 삽입, 하이 잭 전자 상거래, 내비게이션, 개인 서버 등을 방문한 다른 웹 사이트로 이동합니다. 또한 확장 프로그램은 사용자의 인터넷 데이터를 수집하고 360 포럼 및 QQ 컴퓨터 집사 포럼에서 사용자 피드백을 수집합니다. 모든 하이재킹 규칙은 클라우드 및 AES 및 DES로 암호화됩니다.

 

샘플 분석

트로이 목마 소스

분석을 위해 "Microsoft Office Word 2010 크랙 버전 @ 377.exe"중 하나를 예로 들어 보겠습니다.

여기에 설명 입력

위조 단어 악성 다운로더 페이지

먼저 다운로드 페이지는 트로이 목마 다운로더의 다운로드 링크로 돌아 가기 전에 Referer가 검색 엔진 및 지역에서 왔는지 여부를 확인하고 트로이 목마 다운로더의 해시 값은 요청 될 때마다 거의 다릅니다. 일부 자동 크롤링 및 자동 분석 도구.여기에 설명 입력

악성 페이지는 조건에 따라 실시간 제작 과정의 다운로드 링크를 판단

트로이 목마 다운로더가 로컬로 다운로드되고 실행 된 후 인터페이스는 아래 그림과 같습니다.

여기에 설명 입력

트로이 목마 다운로더 인터페이스

분석가가 페이지를 직접 방문하면 일반 다운로더의 다운로드 링크로 돌아갑니다.

여기에 설명 입력

악성 페이지에 직접 접근하여 얻은 일반 프로그램

스크립트를 통해 트로이 목마로 위장한 다른 소프트웨어를 추출한 결과, 40 가지 이상의 사무용 소프트웨어를 포함하는 3,500 가지 이상의 소프트웨어가 있음을 발견했습니다.

여기에 설명 입력

가짜 설치 패키지 이름 키워드

위에 언급 된 40 개 이상의 사무용 소프트웨어는 다음과 같습니다.

여기에 설명 입력

허위 오피스 소프트웨어 설치 패키지 정보

코드 분석

1. 환경 점검, 다수의 소프트웨어 및 트로이 목마 설치, 브라우저 홈페이지 변조

트로이 목마가 실행되기 시작하면 먼저 원격 링크를 통해 후속 작업에 필요한 구성 파일을 얻습니다.

여기에 설명 입력

링크를 통해 후속 행동 프로필 얻기

구성 파일을 가져온 후 먼저 안티 바이러스 소프트웨어, 일반적으로 사용되는 패킷 캡처 도구, ARK 도구, 심지어는 콘텐츠를 기반으로 원격 데스크톱, 원격 지원 및 기타 도구를 감지합니다.

여기에 설명 입력

여기에 설명 입력

구성 파일에서 얻은 보안 분석 도구 프로세스 이름

현재 시스템 환경을 감지 한 후 승격이 필요한 프로그램의 다운로드 링크 목록이 구성 파일에서 추출됩니다. 일반 홍보 프로그램 외에도 이러한 프로그램에는 다른 트로이 목마 프로그램도 포함되어 있습니다.

여기에 설명 입력

구성 파일에서 해결 된 프로모션 링크

또한 트로이 목마는 브라우저 홈 페이지를 변조합니다. 변조 된 주소는 클라우드 제어 구성에서 해독 된 이러한 링크 중 하나입니다.

여기에 설명 입력

구성 파일에서 홈페이지의 링크 목록 수정

2. 확장 프로그램 설치, 웹 사이트 도용, 개인 정보 도용

위 작업을 완료 한 후 트로이 목마는 클라우드에 연결하여 악성 브라우저 확장 파일을 자동으로 설치하고, 탐색, 전자 상거래, 개인 서버 및 기타 웹 사이트를 가로 채고, 사용자 인터넷 데이터를 수집하고, 보안 소프트웨어 포럼에서 사용자 피드백 정보를 수집합니다. 클라우드 제어 구성은 무작위입니다. 안티 바이러스 소프트웨어의 정리와 싸우기 위해 확장의 이름, 버전 번호 및 기타 정보를 변경합니다. 위의 작업을 완료 한 후 트로이 목마는 클라우드에 연결하여 자동 설치를위한 많은 악성 브라우저 확장 파일을 얻습니다.

여기에 설명 입력

다수의 악성 브라우저 확장

설치된 확장 코드는 많은 난독 화를 거쳤습니다. 하이재킹에 사용되는 키 코드는 클라우드에서 실시간으로 가져와 여러 계층으로 암호화되었으며 각 암호화 계층에서도 다른 암호화 키를 사용합니다.

여기에 설명 입력

DES 알고리즘으로 암호화 된 클라우드 제어 하이재킹 규칙

클라우드 제어 하이재킹 규칙 중 하나를 해독하면 여러 탐색 및 검색 페이지가 하이재킹됩니다.

여기에 설명 입력

탐색 및 검색 페이지 도용

또한 전자 상거래 웹 사이트를 탈취하는 코드의 일부도 발견했습니다.

여기에 설명 입력

전자 상거래 페이지 하이재킹 코드

도용 규칙은 버전에 따라 약간 씩 다를 수 있으며, 아래 그림은 다른 버전에서 복호화 된 도용 규칙의 코드입니다.

여기에 설명 입력

검색 페이지 종료 코드

여기에 설명 입력

통신 재충전 페이지 하이재킹 코드

페이지를 하이재킹하는 동안 이러한 브라우저 확장 프로그램은 더 많은 수수료를 받기 위해 클릭 수를 늘리기 위해 페이지를 탐색하기 위해 마우스 클릭을 시뮬레이션하려고 시도합니다.

여기에 설명 입력

페이지 탐색을위한 마우스 클릭 시뮬레이션

또한이 코드는 360 포럼 및 QQ 컴퓨터 집사 포럼의 사용자 게시물과 VirSCAN.org 웹 사이트의 샘플 스캔을 위해 제출 된 파일 정보도 수집합니다. 추측은 트로이 목마 문제에 대한 피드백과 테스트를 위해 트로이 목마 파일을 제출할지 여부를 피드백하기 위해이 두 포럼으로 이동하는 사용자를 모으는 것입니다.여기에 설명 입력

보안 포럼 및 다중 엔진 검색 웹 사이트에 대한 액세스 모니터링

여기에 설명 입력

360 및 QQ Butler와 같은 포럼의 게시물 제목 반환

여기에 설명 입력

VirSCAN에서 스캔 한 샘플 정보 반환

마찬가지로 트로이 목마는 사용자가 브라우저 주소 표시 줄에 입력 한 URL 주소를 서버로 반환합니다.

여기에 설명 입력

브라우저 주소의 잘못된 URL을 반환합니다.

클라우드 제어를 통해 지역을 결정하고 특정 지역 사용자의 일반 접속 페이지에 300 × 300 플로팅 광고를 삽입하는 확장 버전도 있습니다.

여기에 설명 입력

페이지에 플로팅 광고 삽입

 

안전 조언

대부분의 사용자는 다음을 권장합니다. 1. 공식 웹 사이트 및 기타 공식 채널을 선택하여 소프트웨어를 설치하여 범죄자가 하이재킹을 제어하는 ​​도구가되지 않도록합니다. 2. 브라우저에 악성 광고가 삽입 된 경우 일반 웹 사이트를 방문하여 자동으로 과금 링크가있는 웹 사이트로 이동하면 보안 소프트웨어를 사용하여 가능한 한 빨리 확인하고 죽이십시오. 3. 브라우저에서 "알 수없는 소스의 확장을 자동으로 비활성화"를 켭니다.

저는 아직도 제가 직접 만든 Python 학습 Q 그룹 을 추천하고 싶습니다 : 705933274. 그룹은 모두 Python을 배우고 있습니다. Python을 배우고 싶거나 배우고 싶다면 가입 할 수 있습니다. 모두가 소프트웨어 개발 파티이며 건조 제품을 공유합니다. 수시로 (Python 소프트웨어 개발에만 관련됨) 최신 Python 고급 자료 및 2021 년에 직접 컴파일 한 제로 기반 교육을 포함합니다. Python에 관심이있는 고급 사용자와 친구들이 참여하도록 환영합니다!

 

IOC (일부)

해시시

844731eee1196d014169fb756ef7863e950e5ea0a8e80d154b1afe96d8b1829a

CRX ID

  • cgolhhnfballfndeflinfanccpjikdmi
  • ankenbdhlppgkfmabdmbfdokacfpnhea
  • eopeikmffmlmgleomnimojfpigfjpjab
  • kaahkldkddbnidfalodnlbdlbcmkbkfj
  • ljljknaclekggpkbbjpbhjacgcngfcgp
  • gabccfgplagmjhahelcodjflcpaadldk
  • hcppkcennmjaafoffcpjnmpepepcklbg
  • kkjjdgmjadhdlcpebcjfppmefkmhjbio
  • egnlheliebooaeheaoabldecpmcneehp
  • bbpabafaggklfannggfocipmnogbojam
  • gadhochknhbcnklhdohlmdeidlfogbad
  • comfmchjneommdoncjhagbkidolibgil
  • hhkjfpeknmpgghnoojenpkjhginoomjp
  • hkoopbbimnmoelagpjeoamgahnccmggc
  • kkpidjggcleolfljongchppheeoibeca
  • mjegnnlmmolelplmadidfccgbhokmhpo
  • lehjanbmddecbhgnnncapflmglinppcj
  • figbiejimdgnhdefdigjmcgfbhppcmlh
  • jjmnodmnjioloohkajephjnljefnpofk
  • npdmbbiopnooephgmjlebjgkkhljambm
  • anamdmjnllfgnoamcnlafmhemfcppbbc

추천

출처blog.csdn.net/aaahtml/article/details/115266762