吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 23065|回复: 138
收起左侧

[转载] 披露报告:流氓家族窃取用户浏览隐私活动

    [复制链接]
bambooslip 发表于 2019-11-21 10:35
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!


1、概述
近期毒霸安全团队通过“捕风”威胁感知系统监控到一起大规模窃取用户浏览器隐私的流氓病毒活动,源头为“上海**网络科技有限公司”旗下的“*图看看”软件,除了收集主流浏览器的历史访问记录外,还会定向收集“m****v.com”的cookies上报,推测属于第三方广告营销平台合作行为,可能被用于广告营销商业效果评估等用途。

image1.png (33.14 KB, 下载次数: 0)
下载附件 [url=]保存到相册[/url]昨天 20:36 上传


通过深入溯源关联分析,我们还发现用于推送浏览器隐私收集插件的LUA云控模块“LuaRtl.dll”还广泛存在于“快*”、“小*记事本”、“小*便签”、“*pdf ”、“麦*助手”、“A**看图”、“光*搜索”、“7***浏览器”、“小*壁纸”等数十款软件中。除此之外,我们还发现多类涉及用户隐私收集或劫持的病毒插件模块,包括“htkkinforeport_dll.dll”、“UrlReport_dll.dll”、“BrowserLink.dll”等。从我们的长期监控来看,上述软件的云控机制也在不断迭代升级,加强对抗监控分析能力,在技术上强调灵活性和隐蔽性,攻击过程文件不落地,恶意模块通过LUA脚本引擎、Shellcode注入以及DLL反射装载等“无文件”技术手段下放执行,配合环境规避、代码混淆、反调试等灵活对抗机制,给传统安全软件的监控检测也带来一定的困扰。

上述软件大多有正常软件功能包装,安装活跃用户较多,如此大规模的隐私窃取活动在业内也比较罕见。浏览器访问历史、Cookies对于用户来说不仅是非常重要的个人隐私,更是账号身份安全认证信息,这样重要的个人信息被不法软件大规模收集,被用于“大数据”分析对用户进行 “精准画像”,包括“定制信息推送”、“精准广告投放”、“用户行为预测”、“转化分析”、“反作弊分析”等等商业用途。

“技术无罪”的论调下,黑与白的界限似乎变得模糊,一方面是用户和信息之间更快速高效的匹配,商家降低获客成本;但是另一方面是个人隐私无限制的泄露,随之而来的各种广告骚扰和安全隐患。无论如何用户对于自身隐私被收集利用应该具备知情权,所以我们决定披露这一起针对用户浏览器隐私进行收集窃取的流氓病毒活动。

云控模块推送隐私收集插件的主要流程如下:

image2.png (86.3 KB, 下载次数: 0)
下载附件 [url=]保存到相册[/url]昨天 20:36 上传

2、技术分析
由于涉及产品众多,本文以好*看看为例进行分析,好*看看主进程Hao**KanKan.exe会启动当前目录下的viewuc.exe,传入加密参数执行,经过解密后的参数如下:

image3.png (3.08 KB, 下载次数: 0)
下载附件 [url=]保存到相册[/url]昨天 20:37 上传


首先读取当前目录下的hao**uc.jpg图片,看似正常的图片但末尾被附加了加密的PE文件,解开后为updatechecker_dll.dll,该模块被内存加载后调用导出函数EnteyPoint传入解密后的参数执行。其另外两张同样也是隐藏PE文件分别为Report_dll.dll和Update_dll.dll:

image4.png (208.14 KB, 下载次数: 0)
下载附件 [url=]保存到相册[/url]昨天 20:38 上传


进入updatechecker_dll模块后会对命令行参数进行解析后对指定的模块进行加载,这些模块都被加密被存放在了注册表中,在安装时被就下载存入,此公司旗下产品也都是以此种方式存放功能模块于注册表中。updatechecker对应于注册表项,mininews 和logo为需要加载的模块,logouc为Lua脚本。其中logo是Lua扩展模块,Lua脚本中的相关接口实现需要该模块支持。

在加载模块前会先查询云端MD5值与本地数据MD5进行对比,不相同则下载最新文件存入。以logo模块为例首先访问[http]://i.hao**kankan.com/logo/v1.0.0.2/super.gif.MD5获取该模块MD5值,不相同再访问[http]://i.hao**ukankan.com/logo/v1.0.0.2/super.gif进行下载。Logo解密后为Lua脚本扩展模块LuaRtl.dll.dll,对应执行的脚本为logouc:

image5.png (406.75 KB, 下载次数: 0)
下载附件 [url=]保存到相册[/url]昨天 20:38 上传


在进行上述模块解密前还会进行调试器攻击,先调用BlockInput函数让鼠标和键盘失灵,再通过PEB中的BeingDebugged调试标志位检测是否在调试,如果正在调试则去桌面寻找fuck.debug文件,不存在直接返回不恢复键盘和鼠标输入,造成调试器和整个桌面卡死的假象:

image6.png (29.03 KB, 下载次数: 0)
下载附件 [url=]保存到相册[/url]昨天 20:38 上传


进入解密及模块加载功能的函数时,其函数头部代码已经被混淆处理:

image7.png (151.93 KB, 下载次数: 0)
下载附件 [url=]保存到相册[/url]昨天 20:38 上传


通过混淆代码后会解密出Lua脚本和Lua扩展模块,对Lua扩展模块进行内存加载,同时载入已编译的lua脚本,后期工作逻辑交给Lua脚本处理。对Lua脚本还原后其执行逻辑是在main函数中执行完弹窗后,会调用execute_urlreport函数进行url和cookie收集,该函数进行参数封装后调用接口函数invoke_exe_inject,此函数在LuaRtl.dll中实现。

在LuaRtl.dl中根据传入的参数,解密出注册表中的隐私收集模块logo_UrlReport (htkkinforeport_dll.dll),同时挂起创建傀儡进程E320.TMP.exe 注入shellcode和htkkinforeport_dll.dll模块,创建远程线程执行shellcode,由shellcode内存加载起htkkinforeport_dll.dll并调用导出函数e开始工作:

image8.png (269.4 KB, 下载次数: 0)
下载附件 [url=]保存到相册[/url]昨天 20:38 上传
                                
在htkkinforeport_dll.dll模块中,首先获取用户硬件信息计算出唯一的UID标识用户,再判断使用该模块的是旗下哪款产品,通过解密出字符串访问相应的注册表键值获取安装数据上报。

获取浏览器历史记录包括了市面上的绝大部分浏览器:chrome,2345,360chrome,360safe,世界之窗,liebao,opera,qq,uc,IE,Mozilla,sogou。以chrome浏览器为例,历史记录都是以Sqlite数据库存储的,先复制一份数据到临时目录,通过Sqlite3库打开数据库执行SQL语句进行查询,在查询前会获取上一次的时间戳,获取此时间戳以后的新内容。为了直观展示以数据库查询工具做演示执行sql语句:

image9.png (309.25 KB, 下载次数: 0)
下载附件 [url=]保存到相册[/url]昨天 20:38 上传


这些数据最终会被封装成json格式加密后通libcurl库发送到服务器http://h*kkinforeport.***ingzao.com/12.gif:

image10.png (346.95 KB, 下载次数: 0)
下载附件 [url=]保存到相册[/url]昨天 20:38 上传


浏览器的Cookie与历史记录相似也是Sqlite数据库,同样复制到临时目录,打开Cookie数据库进行查询操作。与查询历史记录不同的是,Cookie定向收集所有包含m****v.com域名的cookie。

image11.png (420.17 KB, 下载次数: 0)
下载附件 [url=]保存到相册[/url]昨天 20:38 上传
                        
Cookie值在数据库是加密存放在encrypted_value字段中的,但是加密是基于本地账户登录凭证的所以解密需要在本地进行,通过调用API CryptUnprotectData进行解密并发送。

image12.png (314.49 KB, 下载次数: 0)
下载附件 [url=]保存到相册[/url]昨天 20:39 上传


3、总结
当下谈及用户隐私安全,普遍更多的侧重于和个人信息结合更紧密的移动端APP案例,但是PC端同样保存了非常多有价值的用户隐私信息,相对于移动端,PC系统的安全权限设置更加宽松开放,隐私窃取的技术难度反而更低,并且现阶段的用户隐私保护政策并不完备,对于部分流氓团伙和软件厂商来说就成为可乘之机。所以我们安全团队建议用户定期清理浏览记录,毒霸用户可以使用隐私清理保护功能防止个人信息泄露。



IOC
[MD5]
36593363D3F09A6D65F6670BDC115241
8E139186B82AD88B50C4A04E2C82BFE1
8D85BFC97A1DF511BBD477DB32A42E72
E5A5B8A5A9402E9154A392AC4F4D9811
0B9C5CB6201EEE56AB332AEB44802D9B
7B059DE910C2BDF3D051174F50C4C71B
75A1AE668EB6773C18CB0613A8E4BFA5
5B60924BE0F70B5D9525021C234B2070
6CCDA533CC443BAE4372858715183CF3
9FCD1DE8B96A7DDF0BDFDBAD494E4708

点评

360全家桶也是一个板上的豆腐,我的服务器硬是拦截了半年之久,就一个网络验证,它竟然说是建行官网,真是宁可错杀一千,不可放过一个啊  发表于 2019-11-21 22:25

免费评分

参与人数 56吾爱币 +44 热心值 +43 收起 理由
qiang7290 + 1 热心回复!
抱歉、 + 1 谢谢@Thanks!
270ADC + 1 + 1 毒霸本身就是国内毒瘤,开山立派黑产宗师,跟360谁比谁更多屎!
welwenlink + 1 我很赞同!
下一站左转 + 1 我很赞同!
idiots + 1 谢谢@Thanks!
toppad + 1 + 1 谢谢@Thanks!
gosling + 1 怂个鸡儿,火绒发这种报告从来都不打码的
terminator314 + 1 + 1 热心回复!
weiwei321 + 1 + 1 我很赞同!
strmoon + 1 + 1 谢谢@Thanks!
相逝相逝 + 1 + 1 我很赞同!
红楼一梦 + 1 + 1 特别想问问 网警 这类公司算不算非法 入侵
zedong + 1 + 1 我很赞同!
qidians + 1 看到第一张图片,还以为国际浏览器都是流氓。差点卸载,明显的误导
hyc208 + 1 + 1 我很赞同!
乔瑟夫乔斯达 + 1 + 1 谢谢@Thanks!
雾落尘 + 1 + 1 软件是好图看看
lc11535 + 1 我很赞同!
fengye1998 + 1 小伙子独霸给你多少钱我360给你十倍你把毒霸换成我
zcylw + 1 + 1 我很赞同!
hhhccc1234 + 1 + 1 用心讨论,共获提升!
小得意 + 1 只许州官放火,不许百姓电灯,最大的流氓软件,锁主页,锁浏览器。现在你在.
mouse565 + 1 + 1 我很赞同!
menglingkai2008 + 1 热心回复!
张欧爸 + 1 毒霸本身就是国内毒瘤,开山立派黑产宗师,跟360谁比谁更多屎!
gison + 1 用心讨论,共获提升!
iLouis + 1 + 1 我很赞同!
ctOS_ + 1 + 1 软件还是用正规的好
orangtan + 1 谢谢@Thanks!
三千十三 + 1 + 1 我很赞同!
Guijing + 1 + 1 最终网络流氓,祝早日入土
云梦不归人 + 1 我很赞同!
TNB + 1 我很赞同!
allen-xy + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Aleshaaaa + 1 + 1 谢谢@Thanks!
94079490 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
椎名牧 + 1 + 1 谢谢@Thanks!
erlang0008 + 1 + 1 我很赞同!
WgagaXnunigo + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
ciker_li + 1 + 1 我很赞同!
深渊莫冥 + 1 谢谢@Thanks!
洛小秋 + 1 + 1 网络水太深了吧
萌鬼出没 + 1 + 1 热心回复!
lookerJ + 1 + 1 热心回复!
吾爱科学 + 1 热心回复!
gy55you + 1 怂个鸡儿,火绒发这种报告从来都不打码的
tzxinqing -1 毒霸本身就是国内毒瘤,开山立派黑产宗师,跟360谁比谁更多屎!
互联网事 + 1 毒霸本身就是国内毒瘤,开山立派黑产宗师,跟360谁比谁更多屎!
505695437 + 1 反正我上次看到毒霸也推广双11了
孤者与海 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
dalao318 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
willJ + 1 + 1 鼓励转贴优秀软件安全工具和文档!
thinkpad_420 + 1 + 1 热心回复!
xspxsp123 + 1 + 1 我很赞同!
dsb2468 + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

gy55you 发表于 2019-11-21 17:31
怂个鸡儿,火绒发这种报告从来都不打码的
abcxyzmn 发表于 2019-11-21 15:48
软件等等,电脑、网络应用为什么这么多“流氓”?

因素很多,大环境,国外估计很少吧?

简单的对比,从上网 看,外国网页打开,清爽干净,网站是干什么的,打开的网页就是什么,基本没有弹窗、对联、小窗口等等、以及等等等等,看内,好多有名的大网站,都是明明白白的干,毫不脸红,还理直气壮?腰杆子似乎很硬,谁给的底气?

不能说了。只能大家自己注意,别点错了!!!
move 发表于 2019-11-21 19:19
山仔自己的屁股都没擦干净,掩盖自己双十一的罪行?
yleshinimab 发表于 2019-11-21 10:45
牛啊,好好学习中!!!!!!!!!!!
夕临垓下 发表于 2019-11-21 10:54
你提到的软件我有个同学装了全家桶
xiaojiang_320 发表于 2019-11-21 10:57
为啥还要打马赛克,怕报复?
NO‘XIAO5 发表于 2019-11-21 11:02
你这不说全软件名让人怎么预防
sexgod 发表于 2019-11-21 11:04
对于这种软件,就i不用*代替了,直接曝光
jzyyy 发表于 2019-11-21 11:14
不说名字哪知道是哪个全家桶啊,这么多全家桶
www.52pojie.cn 发表于 2019-11-21 11:18
好图看看?

这为啥打码?
孤独时代的宠儿 发表于 2019-11-21 11:19
2345广告家族的吧,哈哈哈
桂花糕乀 发表于 2019-11-21 11:26
正在研究!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:33

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表