名為“超畫”實為暗刷

近期毒霸“捕風”威脅感知系統捕獲到一新型暗類刷惡意程序，其宿主為一款名為“SuperPaint”的流氓軟件，遂取名“超畫”。目前通過各大下載器捆綁傳播，近幾個月的感染趨勢如下?：

通過相關域名和代碼關聯發現，與我們之前報道過的另一款暗刷木馬IECode有聯系，可謂是孿生兄弟，可以確定為同一伙人所為。但在隱蔽性和功能性上都有了一定的提升，通過捕獲的二級云控模塊來看，其功能框架非常完善可模擬 pc, android, ios三大平臺瀏覽器訪問數據包。通過加載三級云控模塊miniblink瀏覽器內核執行云控暗刷指令。其云控請求采用httplib庫使用私有證書進行https通訊，隱蔽性大大增強。

三次啟動自身

“超畫”的暗刷功能潛藏在更新程序 Updater.exe中，在運行過程中會三次啟動自身執行功能：

1.首次運行時會檢查“USERDOMAIN_ID”環境變量是否存在，不存在就創建新Updater.exe進程，并設置進程新環境變量值2:0，其中“:”前面的值有3種情況0，1，2。0和1代表需要內存執行，2代表請求云控數據，“:”后的值為文件映射句柄，在內存執行時會讀取它。

2.第二次運行時再次檢測環境變量，會按環境變量的值引導進入云控請求。 解密出內置的url通過httplib庫進行post請求。請求時會對數據進行序列化，其中會附帶檢測到的殺軟進程和需要檢測的進程信息，使用私有SSL證書加密傳輸，服務端會根據這些上報信息決策是否下發云控模塊。如果下發則會在返回的數據中附帶二級模塊url下載鏈接，根據url下載模塊創建文件映射寫入共享內存，并第三次創建Updater.exe進程，設置新進程的環境變量為映射句柄。

3.第三次啟動時讀取環境變量值“:”后攜帶的映射句柄，在自身進程映射讀取共享內存，調用wecod.dll導出函數內存執行。

對抗分析

“超畫”在對抗分析層面做了充足的功夫，大量使用各種反調試技巧，尤其在一些核心流程數據加解密處，會主動拋異常走異常流程處理。

同時該程序的代碼執行流程也非常有特色，所有要執行的函數都是動態分配內存填充函數地址，然后通過跳轉函數取偏移執行下一層功能，層次最大可達十幾層。通過此方式可以防止IDA交叉引用追溯。每一個層分為功能執行和下層入口點。通過跳轉函數先執行完本層功能后再進入下層，如此循環。而且此種調用方法只在”暗刷”流程中使用，其它流程均正常。

三平臺通殺

通過下發的二級模塊wecode.dll 來看，它的功能非常完善，一般暗刷都是模擬的pc端瀏覽器訪問，但是它除了可以模擬pc端常見的瀏覽器外，還可以模擬 Android, iOS移動端的瀏覽器訪問。支持模擬現有主流的手機HUAWEI ,IPHONE, SAMSUNG，Redmi, XiaoMi，OPPO等上千款型號。

隨著需求的增長，IE內核已然不能滿足他們的需求了，一款優秀小巧的瀏覽器內核miniblink成為了他們新的利器，miniblink號稱全球最小的基于chrome的內核，miniblink.dll有著豐富的api接口可以精確的設置模擬鼠標點擊網頁元素，滾輪瀏覽網頁，網頁編輯框輸入信息等功能。在wecode.dll中通過內置的url 下載數據包，數據包內含暗刷配置和微型瀏覽器內核miniblink.dll，通過內存加載執行暗刷任務。

總結

之前對于暗刷類型的治理法律上并不完備，給許多流氓團伙有了可乘之機，目前國家互聯網信息辦公室于2019年12月15日發布《網絡信息內容生態治理規定》自2020年3月1日起已經施行，《規定》第四章第二十四條：網絡信息內容服務使用者和網絡信息內容生產者、網絡信息內容服務平臺不得通過人工方式或者技術手段實施流量造假、流量劫持以及假的注冊賬號、非法交易賬號、操縱用戶賬號等行為，破壞網絡生態秩序。此規定的出臺為層出不窮的網絡暗刷打擊提供了法律依據。目前毒霸已經對其一系列家族進行查殺。

IOC：

MD5:

50F5C5738112101100211712CEC4C5C5

0F37EBE0A710F269ADCFF0D918B5C8B7

URL:

https[:]//u1.ppdsb23.com:11223/avatar.jpg

http[:]//dw1.ppdsb23.com:11224/conf/tne3.dt

http[:]//dw1.ppdsb23.com:11224/conf/tne4.dt

http[:]//dw1.ppdsb23.com:11224/conf/tne5.dt

簽名:

Henan Miying Network and Technology Co., Ltd