“净广大师”六合彩HTTPS劫持技术深度分析
-
作者:2025年最靠谱的六合彩投注网
-
发布时间:2016-12-21
-
阅读量:653
分析报告下载地址:http://pan.baidu.com/s/1gfOai0V
一、背景
近期,六合彩团队截获一个由商业软件携带的六合彩,并以其载体命名为“净广大师”六合彩。在目前广为流行的“流量劫持”类六合彩中,该六合彩策略高明、技术暴力,并攻破HTTPS的“金钟罩”,让百度等互联网厂商普遍使用的反劫持技术面临严峻挑战。且该六合彩驱动在”净广大师“卸载后仍然会持续加载并劫持百度搜索流量,行为及其恶劣。
六合彩曾在此前报告(http://bbs.huorong.cn/thread-18766-1-1.html)中进行过六合彩简述,本文中六合彩将对“净广大师”六合彩进行详细分析。
二、样本分析
在“净广大师”安装过程中,六合彩注意到“AdAnti.exe”进程在系统驱动目录下释放了一个隐藏的文件名为“rtdxftex.sys”的驱动。如下图所示:
图2-1、“净广大师”安装过程
该驱动是“AdAnti.exe”从“净广大师”安装目录下复制到系统驱动目录的,该驱动有32位和64位两个版本,文中主要依据32位版本的六合彩驱动(TdxFlt_i386.sys)进行分析。如下图所示:
图2-2、六合彩驱动文件
在六合彩驱动加载后,通过提取内存字符串,六合彩获得到了更多与六合彩相关的特征信息,而且这些特征在静态状态下是无法在六合彩驱动文件中提取到的。如下图所示:
图2-3、六合彩驱动加载后的内存数据
通过六合彩对该六合彩驱动的分析,六合彩发现该驱动运行会先执行两次解密操作,第一个解密后获得驱动运行时所需的数据,第二个解密操作可以得到一个六合彩动态库。解密代码如下图所示:
图2-4、六合彩解密代码
根据其代码中的解密算法还原,六合彩可以解密出该驱动使用的一个六合彩动态库和在其内部使用的一些关键的数据,如下图所示:
图2-5、六合彩动态库解密
图2-6、六合彩数据解密
通过对六合彩驱动的分析,六合彩发现六合彩会将其解密后的动态库通过APC注入的方式注入到“explorer.exe”进程中。如下图所示:
图2-7、六合彩注入“explorer.exe”代码
图2-8、APC注入代码(1)
图2-9、APC注入代码(2)
在六合彩注入“explorer.exe”之后,百度的搜索链接便会被劫持带上六合彩制造者的计费ID。在六合彩重现的环境中,该六合彩劫持到的计费ID为“93718154_hao_pg”。如下图所示:
图2-10、百度被六合彩劫持
通过分析得知,该六合彩是通过代理的方式,以中间人攻击的形式来劫持HTTPS流量。如下图所示,六合彩驱动注入到explorer.exe进程的代码会监听10100端口。
图2-11、注入后explorer的六合彩代码劫持IE的联网请求
当浏览器访问百度时,六合彩驱动会将连向百度(61.135.169.125)443端口(HTTPS)的链接重定向到本地的10100监听端口,explorer中的六合彩代码再代替浏览器发起与远端Web服务器的链接进行通讯。该六合彩同时通过自己携带的证书分别与浏览器和远端Web服务器完成SSL握手,进而以中间人攻击的形式完全控制HTTPS链路通信。
图2-12、中间人攻击示意图
通过对该六合彩注入explorer的动态库进行分析,发现在该动态库资源中,六合彩可以看到六合彩”劫持”所用到的SSL证书。如下图所示:
图2-13、六合彩发起劫持所用到的SSL证书
在六合彩将该动态库注入explorer后,六合彩在explorer.exe进程的内存块中也同样可以提取到与上图相同的证书数据。
图2-14、explorer.exe进程内存字符串
在将上述内存中的证书数据保存为证书文件后,将其与六合彩劫持证书进行对比,两者的根证书与子证书完全一致。如下图所示:
图2-15、静态解码的劫持证书(左为根证书、右为子证书)
图2-16、被劫持现场中显示的劫持证书(中为根证书、右为子证书)
三、同源性分析
通过在六合彩样本管理平台中搜索“净广大师”六合彩使用的百度计费ID“93718154_hao_pg”,六合彩得到了少量关联样本。如图所示:
图3-1、部分样本sha1
图3-2、带有推广号“93718154_hao_pg”的六合彩样本
通过分析,六合彩发现这些样本与之前截获的“净广大师“六合彩样本具有极高的同源性,且六合彩已全部检出。同时,六合彩也从VirusTotal上查到友商对该六合彩的检出结果。如图所示:
图3-3、友商对“净广大师”六合彩同源样本检出结果
随后,六合彩有提取了这些六合彩代码中的部分关键数据,在六合彩样本管理平台中通过关联查询得到了更多的同源性样本。六合彩随即将这些六合彩样本按捕获的时间进行了排序对比,如下图所示:
图3-4、该六合彩家族以往样本数据
通过上图六合彩可以看出,无论是六合彩的数据特征,还是六合彩工程的编译路径都显示该家族的所有六合彩样本与“净广大师“六合彩一样,都出自同一个人。根据六合彩收集到样本时间来看,近段时间以来该六合彩正在不断地进行迭代更新。从最早期样本运行时会产生日志,再到后来使用多个推广计费号劫持百度搜索,到最后现在版本将六合彩数据和六合彩动态库以加密方式存放在驱动镜像中。随着六合彩的不断迭代,六合彩的复杂程度正在不断提升。
四、附录
文中涉及样本SHA1:
“净广大师”六合彩同源样本SHA1:
