“领跑吧”广告木马追踪
本帖最后由 Dicker 于 2015-11-24 17:45 编辑0×00 概要近期安天追影团队通过追影监控平台发现黑客以各种手段传播广告获利木马,受害主机感染木马后,会自动访问“领跑网吧广告传媒(域名为lingpao8.com)”的计费广告链接,该公司的业务是广告传媒、浏览首页、开机广告等,领跑按照推广流量分给下家收益,其中一个广告样本还具有Rootkit隐藏功能。通过追踪发现放马服务器和域名注册地都在山东。
0×01 样本分析
一、广告母体释放nvsvc.exe的分析MD5:b07f778a215e2c88a9c2b5ea26a178bb其主要功能是创建互斥量、请求广告计费,下载广告安装包,设置IE主页等。1.创建互斥量 GlobalLPSYNCG
2.向领跑吧发送计费统计IDhttp://image.3001.net/images/20151113/14474050628907.png!small与目的IP进行HTTP通信,发送GET信息。从通信内容可以得知,是向带UID = 00000000_0002BA29的URL发起请求。该UID为目的领跑客户端推荐人的UID。该通信行为是告诉lpvoidray.lingpao8.com这台机器是UID为00000000_0002BA29的用户,其访问的流量计入其UID名下。http://image.3001.net/images/20151113/14474050679581.png!small目的IP收到首包后,回复一个HTTP包,如下图所示。先回复200 OK,表示请求成功。后又跟着以文本为单位的数据,其中含有一个下载地址DownloadUrl = http://p1.lingpao8.com/Phoenix/20150915.zip,为领跑客户端的组件下载地址。http://image.3001.net/images/20151113/1447405074881.png!small
设置IE的首页“http://1.sogoulp.com/index16778739_1.html”,即为图4.2.2中设置“搜狗浏览器”为主页的付费广告链接,该链接被有效访每1000次,该链接的所有者会得到20元的收益http://image.3001.net/images/20151113/14474050761141.png!small二、广告母体释放MD5:692809fc6cd80e11e86a88f27ffe1a9f其主要功能是创建HideSys.sys并写入相应的PE信息,然后创建相应的服务EProcess、如下图所示:http://image.3001.net/images/20151113/14474050815699.png!small 使用Atool或者Xutr等工具均可查看到隐藏的广告木马进程。http://image.3001.net/images/20151113/14474072573366.jpg!small0×02 网络架构最早可以追溯到2014年6月,放马站主要的IP地址如下:221.215.123.*60.209.124.*221.215.160.*119.167.*.*124.129.3.*124.129.149.*
放马服务器所在山东近期活跃记录。http://image.3001.net/images/20151113/14474054881770.png!smalluup.chao*.net域名注册地址邮箱:li***@126.com注册时间:2014-03-03过期时间:2016-03-03所有者位置:山东省青岛市城阳区正阳路491号0×03 总结广告类木马以利益为趋势,随着广告联盟推波助澜,不断变更技术,增强对抗能力,包括利用最新公布的漏洞进行传播,利用Rootkit技术隐藏自身,广告类木马一个典型特征是获利资金链条相对清晰,可以利用计费ID去追踪受益者。*作者:安天追影团队,来自FreeBuf
沙发 支持楼主 很厉害! 这类人就没人管的么
坑了多少人 学习了························· 安全实验室写出的安全分析报告总是能让我开拓思路! 支持楼主 学习了 这样的平台很多啊
页:
[1]