客服熱線
186-8811-5347、186-7086-0265
官方郵箱
contactus@mingting.cn
添加微信
立即線上溝通
客服微信
詳情請咨詢客服
客服熱線
186-8811-5347、186-7086-0265
官方郵箱
contactus@mingting.cn
2022-11-28 來源:作者:金山毒霸
鷹眼威脅情報中心團隊于2021年4月披露了一起針對微信的竊密攻擊行動(“微馬來襲”:首例針對微信的大規模竊密攻擊),自披露以來我們對該家族的動向進行密切關注,發現其幕后團伙并沒有收手,仍在不斷發展壯大自己以攫取更多的利益。根據毒霸內存防護攔截數據顯示,微馬家族的感染規模、更新活躍度在眾多針對微信客戶端的黑產活動中位居前列。如下圖所示,從2022至今為止“微馬”的感染量持續攀升,平均月感染量在20萬左右,可以預估該家族在近兩年活躍的時間里導致全網受感染用戶已達到百萬級別。
微馬家族都是先通過流氓軟件外殼偽裝入駐用戶系統,而后監控、注入微信進程并竊取用戶授權令牌等敏感信息。此次捕獲的木馬在多個渠道傳播,主要來源于以下幾個流氓軟件:
在捕獲的新一代"微馬"樣本中我們發現,除了收集用戶關鍵的微信token外,還定時暗刷廣告營銷類公眾號文章進行引流,讓大量的微信用戶成為他們牟利的工具。在分析過程中我們拉取了上百條配置鏈接,經過對內容分類統計發現其中暗刷對象主要涉及美食、購物、汽車、房產、美妝等廣告營銷類文章。
綜上可見發展壯大后的“微馬”家族產業鏈已更加完善、分發渠道更加豐富,樣本攻擊更為活躍。
攻擊者為了提高用戶感染率,將微馬模塊藏匿在流氓軟件的安裝包內。一旦在用戶計算機安裝成功則會將該模塊注冊成惡意服務實現持久化駐留。服務通過遠控服務器下拉攻擊載荷,該載荷啟動后解密出竊密模塊,對微信進程進行檢測和反射式DLL注入,在內存中使用正則匹配暴力搜索訪問鏈接的關鍵位置并且安裝Hook,實時監控竊取用戶令牌數據、下載流量配置,從而實現"流量暗刷"、“廣告引流”等真正目的。
此次捕獲的微馬模塊由“整點播報”安裝包釋放。該程序具有數字簽名“Wuhan Weizhinuo Network Technology Co., Ltd.”。該流氓軟件被靜默安裝在用戶計算機的同時釋放注冊了DrthServer服務,此服務對應落地文件DxpwServer.exe。
為了增強對抗,安裝包根據用戶環境的差異會釋放兩種不同版本:在測試環境中,被安裝包釋放的服務只有對流氓軟件進程自保的單一功能;而在用戶環境中,我們捕捉到的則是攜帶惡意功能的服務模塊。兩個服務文件的簽名一致,但是惡意服務的體積較大,通常為400KB以上。
DxpwServer服務文件由易語言編寫,且其中重要的字符串均被加密,以對抗殺軟檢測,加大安全人員分析的難度。
在服務運行中有多處位置在執行到關鍵步驟之前,都會通過查詢下列相關進程判斷是否有殺軟、調試工具、虛擬機或者同系列的木馬服務進程已經啟動,如果有則直接禁用當前服務。
同時,服務還會查詢注冊表判斷是否有同系列的木馬已經植入到用戶系統,如果有相關注冊信息則退出服務進程。相關注冊表項如下:
惡意軟件為了提高自身隱蔽性,利用DLL注入技術將惡意代碼注入微信進程,注入完成后使用遠程線程調用木馬模塊的DllEntryPoint函數執行初始化動作。從服務器下拉配置到啟動惡意模塊的期間無任何文件落地,同時增加了查殺檢測難度。
攻擊者通過在用戶計算機中注冊服務,實現長期穩定地從遠程服務器下載更新配置,其中包含注入微信進程的惡意載荷和廣告暗刷的配置鏈接。
通過查詢wechat.exe、WeChatResource.dll進程是否存在來判斷微信的運行狀態,當微信啟動時才會執行下一步驟。
當服務確保微信正在運行之后,則會與C2地址:222.187.232.40的地址進行通訊,訪問http://yihuafenc*****/dates.zip將數據獲取到內存中:
通過將內存數據解密,我們捕獲到真正的惡意載荷,模塊名稱是“發送統計.dll”,該文件是由易語言編寫,其中重要的字符串仍然使用同一方式進行加密。
“發送統計.dll”是微馬的核心功能模塊,根據內存防護引擎捕捉到的數據顯示,該模塊每隔數月就會更新一代,與微信版本更新基本保持同步。微信于11月10號發布最新版本為3.8.0,該團伙已在11月15號完成了核心模塊更新。
在確定用戶計算機環境安全且正在運行微信進程之后,向WeChat.exe中注入解密后的“發送統計.dll”模塊:
裝載惡意載荷的ReflectiveLoader則是一段內嵌在服務文件“.data”段的shellcode,功能為內存展開模塊并且調用庫函數 ,木馬服務將其寫入Wechat.exe的內存,利用遠程線程調用實現在微信進程中反射裝載惡意DLL:
攻擊者在惡意載荷中仍會不斷檢查環境是否能夠繼續安全地執行惡意操作,比如:確認當前模塊是否為微信的進程、驗證微信是否登錄、是否正在運行各類殺軟、抓包工具、虛擬機及調試器等程序。
在檢查環境之后若沒有出現異常,則請求IP地址為216.83.45.51:4018的服務器serviceswechat.com下載加密配置,該鏈接是高仿微信的地址servicewechat.com(僅多了一個字母“s”),在流量分析時很容易混淆在海量的正常微信流量中。
配置經解密以json的格式呈現,其中url都是微信公眾號文章鏈接。服務配置更新的周期為一小時,每次下發配置中的鏈接總量都是27條,且鏈接URL和文章內容均不相同。
木馬使用正則搜索定位到WechatWin.dll模塊中與鏈接訪問相關的目標位置,將需要HOOK的地址原匯編記錄保存,跳轉至新申請的內存空間安裝鉤子執行木馬邏輯后返回原地址繼續執行:
當用戶在正常訪問鏈接時,微信進程會執行到鉤子的位置,實現獲取鏈接中用戶令牌相關字段的數據:uin、key、pass_ticket、devicetype、version。
而后將關鍵數據與特殊字符進行拼接組合,使用base64的加密方法加密后再進行倒序產生了一個新的數據包,發送至云端惡意IP:216.83.45.52(http://serviceswechat.com:2837)。被收集的用戶關鍵令牌信息也極有可能被利用在其他黑產和惡意活動之中,值得微信用戶警惕。
訪問鏈接的部分使用了雙層循環嵌套,外部循環會確認“WechatBrowser.exe”以及微信窗口是否運行以保證能正常調用接口,內部循環通過內存定位wechatwin.dll中web訪問的函數地址,將鏈接地址作為參數傳入完成暗刷操作。
如下圖所示,源自配置鏈接的文章訪問量可達到其他同類公眾號文章的數倍之多。
登錄鷹眼情報中心(https://ti.duba.net)搜索或者上傳樣本后查看分析出的C2配置,通過IP地址查看所屬家族和地區等詳細信息,在“關聯情報”里點擊相關通信文件等選項即可獲取關聯的同源家族樣本。
在自媒體時代的洪流之下,用戶個人流量已經成為商家的獲利工具,與此同時必然會衍生出大量黑灰產業謀取紅利。微馬家族就是借助流氓軟件易感染、難清除的“優勢”潛伏在用戶系統內,逐步形成了一條成熟的暗刷推廣鏈。從溯源結果來看每個下放的微馬服務中代碼相似度很高,其中不僅有公眾號相關的鏈接處理,還預留了視頻號相關的處理邏輯,隨著微信的產品功能升級,木馬也會更新迭代加入新的黑產功能。而身為病毒攜帶傳播者的流氓軟件風險危害仍然不容小覷,需要及時做好檢測清理和防范措施。目前毒霸已支持對該病毒的查殺: