伯乐娱乐城
您的地位:伯乐 > 数码科技

着名软件ADSafe隐藏歹意代码,从浩繁网站挟制流量

公布工夫:2018-03-12 16:03:27
缩小减少

  日前,火绒平安团队发明”ADSafe净网巨匠”、”清网卫士”、 “告白过滤巨匠”等多款着名软件隐藏歹意代码,偷偷挟制用户流量。这些软件出自统一公司,功用相似,次要是屏蔽网页告白。依据技能剖析,三款软件都市经过交换计费名(差别网站和下游分红的标识)的方法来挟制流量,牟取暴利。其挟制网站数目为比年最多,已达50余家,包罗国际多家着名导航站、电商以及在线消耗买卖平台等。更可骇的是,”ADSafe”挟制规矩可随时经过近程操纵被修正,不扫除其未来用来实行其他歹意举动的能够性,存在极大平安隐患。

  火绒平安团队发明,”ADSafe”官网的软件版本固然停顿在v4.0.610,但其论坛、下载站中却公布了v5.3版。依据技能剖析,”清网卫士”、”告白过滤巨匠”和v5.3版”ADSafe”的功用、告白过滤规矩,以及歹意代码都完全一样,可以认定,”清网卫士”和”告白过滤巨匠”软件实在便是”ADSafe”的最新版本,都市经过交换计费名(差别网站和下游分红的标识)的方法来挟制流量,牟取暴利。

  现在,”ADSafe”(v5.3及以上版本)和”清网卫士”等软件正在经过国际各大下载站、官网以及官方论坛放肆传达。用户电脑中只需装了上述软件,网站中(如 图2)发生的流量都市被挟制。

  如上图所示,这次触及到的受挟制网站数目是我们比年来发明最多的一次,共有50余家。不只包罗国际的导航站、电商(淘宝、京东、华为商城、小米商城、1药网等);还包罗国际一些在线消耗买卖平台(新西方、悟空租车);外洋的品牌购物站(Coach、Hanes、Clarins等)。

  别的,如今挟制规矩还在继续更新,不扫除未来能够用于其他打击。比方火绒之前报道过的病毒应用JavaScript停止挖矿(www.huorong.cn/info/151443978790.html)和盗取团体信息(www.huorong.cn/info/1518338707106.html)的案例,发起广阔用户留意防备。”火绒平安软件”最新版可以阻拦”ADSafe”和”清网卫士”。

  近几年,互联网公司间的流量抢夺赛愈演愈烈,并成为其次要支出泉源。但是”流量”和”损害用户”每每是相伴而生,这也是”火绒关停流量业务”的初志。软件提供效劳,用户购置效劳/产物,才是安康的贸易形式,而不是打着”收费”的旌旗,背后里却把用户电脑看成”战场”,当成软件厂商的赢利东西。归根结底,只要标准的效劳、优质的产物,才是企业的制胜宝贝,是企业持久开展的运营之道。

  火绒近期在多个用户现场发明,名为清网卫士的告白过滤软件会歹意挟制流量。当用户拜访搜刮引擎、网址导航站、电商网站时,该软件会经过HTTP代理的方法将拜访网址挟制为带有推行号的目的网址链接,歹意流量挟制触及国际外浩繁线上消耗平台及导航搜刮站点,国际电商平台包罗:淘宝、京东、苏宁等,外洋线上消耗平台则包罗:Coach、Hanes、Nike等多个着名品牌。被挟制的网址列表,如下图所示:

  随后,我们找到了清网卫士官网(hxxp://www.ad-off.com/),如下图所示:

  值得一提的是,在我们检查清网卫士页面源码的时分,发明在被正文的网页代码中居然呈现了ADSafe(ADSafe)的官网微博地点和用户QQ群。如下图所示:

  被正文的清网卫士官方微博地点(http://e.weibo.com/3066343347),实践终极会跳转到ADSafe的官方微博,如下图所示:

  被正文的QQ群号实践为ADSafe用户群,如下图所示:

  除此之外,被正文的清网卫士微信大众号 “adoffjwds”,大众号称号后半局部”jwds”为净网巨匠首字母。依据上述几点,我们可以开端推测,清网卫士能够和ADSafe存在着某种联络。

  在我们对ADSafe 5.3.117.9800版本(装置包泉源为某下载站)停止剖析后发明,该版本的ADSafe也具有相反的挟制举动。除此之外,该版本ADSafe和清网卫士的功用组件中大局部功用代码根本相反,乃至有局部用于流量挟制的数据文件SHA1也完全相反。以HTTP代理主模块为例停止代码比对,ADSafe.exe(ADSafe)和Adoff.exe(清网卫士)代码比照,如下图所示:

  用于流量挟制的数据文件SHA1比照,如下图所示:

  该版本ADSafe装置包数字署名无效,称号为”Shanghai Damo Network Technology Co. Ltd.”,即上海大摩网络科技无限公司。如下图所示:

  综上,我们可以完全判定,清网卫士和ADSafe5.3.117.9800版本都属于统一个软件制造商,且带有相反的流量挟制逻辑。

  随后,我们也对ADSafe官网(hxxp://www.ad-safe.com/)版本停止了剖析。 我们发明,官网下载的ADSafe装置包不会开释网络过滤驱动和挟制战略,由于官网版本装置后网络过滤框架不完好,以是不会停止歹意流量挟制。

  如上文所述,清网卫士与ADSafe5.3.117.9800版本挟制逻辑根本相反,以是我们下文中针对该版本ADSafe停止细致剖析。病毒运转流程,如下图所示:

  如上图所示,由于ADSafe运用HTTP代理的方法停止挟制,以是一旦挟制规矩失效,用户电脑中所发生的一切HTTP恳求都市被ADSafe停止挟制,停止到我们公布陈诉之前,ADSafe挟制的网址多达54家,且受影响网址还在不时停止更新。

  网络过滤驱动

  当当地发生HTTP恳求时,网络过滤驱动会将过滤到的HTTP恳求转发给当地的HTTP代理(ADSafe.exe)。网络过滤驱动中的转发逻辑,如下图所示:

  HTTP代理

  HTTP代理历程(ADSafe.exe)次要担任处置网络过滤驱动转发来的HTTP恳求,依据差别的规矩可以用于做告白过滤和流量挟制。ADSafe规矩分为两个局部,辨别在两个差别的目次下。规矩目次地位及用处,如下图所示:

  如上图所示,用户订阅规矩次要对应ADSafe中的自界说告白过滤规矩,次要用于告白过滤、特务软件过滤等;流量挟制规矩中次要包罗挟制战略和挟制内容,挟制失效后,可以将原有的HTTP恳求交换为事后预备好的挟制内容,到达挟制目标。以拜访http://www.jd.com为例,由于跳转进程较快,我们断网截取到了挟制链接(hxxps://p.yiqifa.com/c?w=淫乱&t=https://www.jd.com/)。挟制结果,如下图所示:

  终极跳转页面,如下图所示:

  流量挟制战略不光会被5.3版本的ADSafe间接开释,还可以停止云控更新,就在我们剖析的同时,挟制战略还在不时更新,以是下文所提到的挟制战略均以我们获取到的最初一个版本为准。

  ADSafe战略文件中数据均运用AES算法停止加密,加密后数据运用BASE64停止编码。由于一切战略文件解密流程完全相反,下文中不再停止赘述。相干解密逻辑,如下图所示:

  战略更新功用次要对应ADSafe中的AdsCdn.dll模块,该模块次要担任战略的恳求、下载息争密流程。挟制战略更新流程起首会拜访C&C效劳器地点恳求战略设置装备摆设数据CdnJsonconfig.dat。C&C效劳器地点,如下图所示:

  恳求CdnJsonconfig.dat数据相干代码,如下图所示:

  该文件完成解密后,我们可以失掉如下设置装备摆设:

  如上图所示,此中”0002020A”属性中寄存的是战略更新设置装备摆设文件下载地点(hxxp:// filesupload.b0.upaiyun.com/pc_v4/rulefile/source_9800.xml?-70969872),经过HTTP恳求我们可以失掉如下设置装备摆设:

  如上图所示,每一组””标签对应一个战略或数据文件,其下一级的””标签中寄存的是文件下载地点,下载每个文件至当地后都市对文件的MD5值停止比对,确保文件的完好性。在验证MD5之后,会将规矩文件解压至ADSafe装置目次下的res目次中。战略更新相干代码,如下图所示:

  我们前文说到,在ADSafe官网版本(4.0版本)中未包括流量挟制战略,实在是由于低版本AdsCdn.dll动态库中用于恳求CdnJsonconfig.dat数据的网址指向的是一个局域网地点(hxxp://192.168.1.77:823/i.ashx),以是不克不及停止挟制战略的更新。不光云云,官网版本装置包装置后,不会开释网络过滤驱动,这就间接招致官网版本的ADSafe装置后基本不具有任何告白过滤功用。

  代理效劳历程除了上述操纵外,还会经过检测窗口名(OllyDbg等)、修正线程调试属性等方法停止反调试,相干代码如下图所示:

  在流量挟制战略下发到当地之后,起首会停止解密,之后加载到HTTP代理效劳中。为了方便我们下文中对挟制规矩的阐明,我们起首援用ADSafe过滤语法简表对过滤规矩的要害字停止阐明。要害字及相干用处如下图所示:

  流量挟制战略被寄存在ADSafe装置目次下的”res\tc.dat”文件中,颠末解密我们可以失掉挟制战略。局部挟制战略,如下图所示:

  如上图所示,挟制规矩每条寄义大抵相反。起首经过正则婚配网址,在网址婚配乐成之后,会将”$$”后的HTTP数据包内容停止前往,在前往的数据包中包括带有流量挟制功用的JavaScript剧本。以0025.dat解密后数据包内容为例,如下图所示:

  曩昔文挟制规矩为例,挟制失效后当用户拜访”dangdang.com”和”suning.com”等网址时,前往数据都市被交换为HTTP数据包0025.dat。数据包文件内容也需求停止解密,解密后我们可以看到JavaScript剧本控制的相干挟制逻辑。

  挟制京东等电商网站

  起首剧本会依据差别的网址实行差别的挟制逻辑,网址列表如下图所示:

  如上图,url属性中寄存的是欲挟制网址,name寄存的是挟制挪用函数,在该挟制剧本中,每个网址都对应差别的挟制函数。挟制函数挪用逻辑,如下图所示:

  由于挟制网址浩繁,我们只以较为典范的几种挟制状况停止阐明。我们先以挟制京东商城为例,挟制运用的函数为_fun_17。函数逻辑,如下图所示:

  _fun_17函数会从事后预备的挟制数据中解密出一组挟制链接,且每个链接都对应一个挟制概率,挟制概率以比例的方式被顺次寄存在挟制链接数组前面。解密出的挟制数据,如下图所示:

  在获取到上述挟制链接后,会挪用ft_r函数在以后页面中拔出革新标签停止跳转。如下图所示:

  如上图,每个挟制链接都是经过告白推行平台(如亿起发、星罗、多麦等)链接跳转至终极的京店主页,ADSafe会经过这些告白推行平台停止流量套现。其他网址的挟制也大抵相反,上面对其他挟制逻辑停止复杂阐明。

  挟制Hao123导航

  针对Hao123的挟制逻辑,如下图所示:

  如上图,挟制Hao123所示用的HTTP数据在0021.dat中寄存,解密后与0025.dat大抵相反,但该文件中只寄存又针对Hao123的相干挟制代码。挟制函数,如下图所示:

  上图剧本会从推行号列表中随机选取一个推行号拼接在”https://www.hao123.com/?tn=“链接前面,之后也是经过拔出革新标签的方法停止跳转。用来挟制的推行号共8个,如下图所示:

  挟制百度搜刮

  挟制百度搜刮的挟制战略,如下图所示:

  挟制百度搜刮的数据在0023.dat中,挟制函数如下图所示:

  与 Hao123挟制状况类似,推行号也在一个列表中共36个,如下图所示:

  除了前文中所说的清网卫士外,我们还发明一个与ADSafe具有相反挟制战略及功用模块的告白过滤软件”告白过滤巨匠”。该软件有两个页面完全相反的官网,辨别为hxxp://www.admon.cn/和hxxp://www.newadblock.com/,且”admon.cn”域名是由”上海大摩网络科技无限公司”注册的。如下图所示:

  官网页面不光完全相反,且都带有多家平安软件的平安认证,如下图所示:

  告白过滤巨匠挟制战略目次与ADSafe、清网卫士比照,如下图所示:

  不光目次中文件名根本分歧,并且用于流量挟制的数据SHA1也根本分歧(只要0025.dat的SHA差别),三款软件也都同时包括有相反的功用模块。以是我们可以判别,三款软件同属于一家软件制造厂商。SHA1比照,如下图所示:

  文中触及样本SHA256:

  *原文:火绒平安

文章泉源: 伯乐娱乐城
责任编辑: 镇江在线
伯乐娱乐城
伯乐娱乐城