一、事件概述
“暗流”家族作为国内活跃僵尸网络中的佼佼者,专注于流量暗刷攻击,曾经在国内某知名软件公司的“正规”外衣保护下寄生藏身多年,毒霸安全团队于2018年10月底曾率先对其进行挖掘披露,其幕后黑产团伙显然没有轻易收手,所谓“百足之虫,死而不僵”,近日毒霸“捕风”威胁感知系统再次监控到“暗流”家族新变种的活动痕迹。
通过溯源分析,我们发现本次“暗流Ⅱ”家族通过多玩公司旗下的“游戏盒子”客户端升级渠道进行传播感染,其启动宿主进程的数字签名为“广州玩盒科技有限公司”。“游戏盒子”作为该公司旗下知名的游戏辅助软件,包含“英雄联盟盒子”、“DNF盒子”、“坦克世界盒子”等多款辅助客户端,从监控数据看无一幸免,所有产品升级渠道均被植入“暗流Ⅱ”木马家族。除升级渠道和数字签名等强关联证据外,暂时未发现“暗流Ⅱ”木马家族与“多玩游戏”存在直接操纵和利益关联的线索,本次病毒传播事件究竟是厂商内部操作还是外部黑产攻击尚无法给出定论,因此我们将本次安全事件暂定性为“疑似软件供应链攻击”。
从我们“捕风”系统的回溯数据看,本次“暗流Ⅱ”病毒传播活动最早于2019年1月17号开始小范围测试,随后扩展到各游戏盒子客户端升级通道,影响范围迅速扩大,预估全网感染用户在百万级别。本次“暗流Ⅱ”病毒传播活动作为春节后监控到的首例高危安全事件,我们已第一时间启动安全应急处置流程,目前正在与厂商积极联系以通报相关细节,更多结论请等待“多玩游戏”官方调查回复。
二、技术分析
1. 升级渠道污染
本次“暗流Ⅱ”暗刷木马家族的母体通过“多玩”旗下游戏盒子客户端升级下发安装,从数据包监控分析看,服务端的升级配置文件均被污染注入,核心模块为“UpdateServer.exe”,运行后注册为系统服务启动项,负责后续云控模块的加载;另外空壳程序“Notify.exe”用于作为被注入暗刷模块的宿主进程。以上文件的数字签名均为多玩游戏“广州玩盒科技有限公司”。
2. 启动云控插件
核心模块“UpdateServer.exe”自注册为系统服务启动后,首先对当前系统环境进行检查,防止虚拟机运行、抓包检测或调试分析。随后检测更新目录下的核心文件:"UpData.db" 、"Notify.exe"、"info.db"。解密(RC4+ZLib)其中的“UpData.db”模块并通过内存加载,调用其导出函数“update_init”。
“UpData.db”模块解压出的模块原始文件名为“common.dll”,作为“暗流Ⅱ”变种的核心云控模块,开启循环线程,负责进行环境检测、云控请求以及工作插件Loader的注入启动等工作,其中云控请求包主要包括两类,一类是更新云控服务器信息,另一类是获取插件运行参数信息,例如暗刷URL配置等。工作插件Loader就是“info.db”文件,它解密后被注入到挂起创建的空壳进程“Notify.exe”中,通过命令行参数传递父进程中配置信息的内存地址,方便后续插件读取解析。
3. 启动暗刷插件
“info.db”工作插件loader被注入执行以后,首先通过命令行参数获取父进程内存中保存的参数配置信息,校验完毕后开启工作线程,联网更新获取真正的功能插件并进行内存反射加载,插件模块内容被加密缓存到“user.db”文件中。暗刷插件的功能导出接口为“FuncA”与“FuncB”,其中“FuncA”负责解密参数XML配置信息,“FuncB”根据参数配置执行暗刷任务。
插件暗刷功能支持比较完善,灵活性较高,与之前“暗流”家族报告中披露的插件代码基本一致,并且加强了针对安全软件、流量监控、游戏等进程检测规避策略。暗刷攻击目标网站也非常繁杂,涉及视频、汽车、美妆、电商、新闻、移动等多个类型厂商,可参考之前的披露报告,本篇不再赘述。
三、IOC附录
HASH:
6A6708B0B328E83C75475813031BEC85
CB4312825FAD06B693DC99EFA51200C7
7991C6348D094F6DD131BF16CC2FEC52
413907237A6480BD3590EA516002B9FA
BE029AF532636359DB97A24116CB85E5
C&C:
data.3515w.com
tt.we2021.com
gg.we2021.com
211.110.66.106
*本文作者:安全豹,转载请注明来自FreeBuf.COM