一、背景概述
“速浪”家族从2014年开始一直是国内活跃流氓软件的佼佼者,其早期关联变种还包括“稻草人家族”、“考拉家族”等,该系列家族除了强锁主页、静默推广、强制弹窗等常见流氓行为外,核心恶意功能还包括构建流量暗刷僵尸网络。
近期毒霸“捕风”威胁感知系统还监控到“速浪”家族秘密构建了一个庞大的V PN 暗刷僵尸网络,病毒程序利用 RAS( win do ws系统远程访问服务 ) 连接云控指定的V PN 服务器,并在用户系统中安装执行开源代理软件 Shadowsocks 服务端,其目的就是通过V PN 服务将所有感染用户接入到同一虚拟局域网下实现网络穿透,感染用户彻底沦为网络代理节点后,病毒服务端就可以在局域网内控制任意用户节点执行网络访问。
如上图所示,感染用户成为僵尸代理节点后不仅会被占用大量网络资源被用于流量暗刷,更大的网络安全隐患在于,感染主机直接暴露在病毒构建的庞大V PN 虚拟局域网内,而该V PN 网络的接入密码凭证是硬编码在病毒文件中的,网络节点间并不存在任何安全信任关系,任何人都可以伪装接入该僵尸网络接管所有感染节点或进行内网扫描攻击。
从我们的历史监控数据回溯看,“速浪”家族最早从2018年就开始通过V PN 代理木马组建僵尸网络,而本次变种从2019年3月底开始加强活跃程度,目前正通过其旗下的“速浪输入法”、“极速压缩”等软件的云控模块进行大范围传播。从特殊渠道的监控数据看,“速浪”家族软件的全网历史安装总量过亿,在国内多家安全软件的追杀之下,部分流氓变种至今依旧保有百万级活跃量,所以该 VPN 僵尸网络一旦被黑客恶意利用就会造成非常严重的安全影响。
除了V PN 代理僵尸网络,“速浪”家族在流量暗刷方面也是前科累累。如上图,毒霸安全团队在2017年8月份曾监控到“速浪输入法”通过云控下载“Y Y 直播”暗刷木马,通过后台登陆僵尸粉丝账号,模拟操作“Y Y 直播”刷量增加主播房间人气。友商腾讯“御见”安全团队曾在去年针对该直播刷量木马发布过技术分析披露,所以此处不再赘述,详情可参考文章末尾报告链接。
二、技术分析
如上图所示,“速浪”V PN 代理木马的整体流程并不复杂,以“极速压缩”为例,安装包释放“Po tity. exe”并注册为系统服务实现自启动,该模块主要负责联网下载核心模块“tix .exe ”并循环更新。而“tix .exe ”的功能主要分为“初始配置”和“云控工作”两大部分:
1) 初始化配置部分 :
从模块资源中解压释放 Shadowsocks 服务端“sss erver.exe ”和 RAS 连接配置文件“ Rasphone.pbk ”到程序安装目录下,随后病毒模块修改系统防火墙配置,将模块自身、代理服务端以及代理端口加入放行列表。最后启动其代理服务端“sss erver.exe ”,该程序基于开源项目 go-shadowsocks2 改造编译,配置选项硬编码在命令行参数中,加密协议为“ AES-256-CFB ”。
2) 云控工作部分 :
完成基础文件的释放配置后,病毒进入云控工作部分,首先循环尝试向服务端请求R AS 连接的目标服务器 IP ,随后设置到配置文件并通过 Rasdial拨号 尝试 连接 到V PN 网络。成功建立连接以后则向服务器报告节点的内网I P 和代理端口信息,成功以后服务器返回节点I D ,病毒程序通过此I D 和服务器保持循环心跳通信。
如上,感染节点加入病毒创建的V PN 虚拟局域网,控制端收到节点上报信息后就可以通过内网I P 连接其代理服务端口,执行流量暗刷等网络任务。
三、安全风险分析
如前文所述,抛开感染用户被“速浪”家族 用于流量暗刷造成的安全影响不谈,这一僵尸代理网络架构本身就存在巨大的安全漏洞,黑客可以通过协议探测到所有V PN 服务器I P 地址,其账号密码包括代理密码也均硬编码在病毒文件中,接入V PN 网络的同时就意味着控制了数十万的代理节点,所有的感染系统也同时暴露在黑客的枪口之下。
我们通过协议请求获取了部分V PN 服务器I P ,然后通过端口扫描和无损漏洞探测等技术手段对该僵尸网络的小范围I P 段进行了安全评估,结果并不容乐观,不仅可以轻易接管控制所有网络代理节点,暴露在内网的部分机器也很容易沦为黑客攻击目标。
附录IOC
* 注: 出于安全风险考虑,防止代理僵尸网络被恶意利用,隐去部分敏感信息
URL :
HASH:
CD68652698832F531FECE60A2B0055E3
EA2015F2216DD6DB2127AD96A0EB51A5
00B0D1A98DC92403F16950D26E630C68
358E8AAFE536791E1E5E257520C4D441
附录参考
《违规软件再添新业务,秒变直播僵尸粉刷量造假》
*本文作者:安全豹,转载请注明来自FreeBuf.COM
来源:freebuf.com 2019-04-17 10:00:52 by: 安全豹
请登录后发表评论
注册