吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 5080|回复: 7
收起左侧

[转载] “领跑吧”广告木马追踪

[复制链接]
Dicker 发表于 2015-11-24 17:43
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Dicker 于 2015-11-24 17:45 编辑

0×00 概要

近期安天追影团队通过追影监控平台发现黑客以各种手段传播广告获利木马,受害主机感染木马后,会自动访问“领跑网吧广告传媒(域名为lingpao8.com)”的计费广告链接,该公司的业务是广告传媒、浏览首页、开机广告等,领跑按照推广流量分给下家收益,其中一个广告样本还具有Rootkit隐藏功能。通过追踪发现放马服务器和域名注册地都在山东。


14474069058639.png

0×01 样本分析



一、广告母体释放nvsvc.exe的分析

MD5:b07f778a215e2c88a9c2b5ea26a178bb

其主要功能是创建互斥量、请求广告计费,下载广告安装包,设置IE主页等。

1.创建互斥量 GlobalLPSYNCG


2.向领跑吧发送计费统计ID

与目的IP进行HTTP通信,发送GET信息。从通信内容可以得知,是向带UID = 00000000_0002BA29的URL发起请求。该UID为目的领跑客户端推荐人的UID。该通信行为是告诉lpvoidray.lingpao8.com这台机器是UID为00000000_0002BA29的用户,其访问的流量计入其UID名下。

目的IP收到首包后,回复一个HTTP包,如下图所示。先回复200 OK,表示请求成功。后又跟着以文本为单位的数据,其中含有一个下载地址DownloadUrl = http://p1.lingpao8.com/Phoenix/20150915.zip,为领跑客户端的组件下载地址。


设置IE的首页“http://1.sogoulp.com/index16778739_1.html”,即为图4.2.2中设置“搜狗浏览器”为主页的付费广告链接,该链接被有效访每1000次,该链接的所有者会得到20元的收益

二、广告母体释放

MD5:692809fc6cd80e11e86a88f27ffe1a9f

其主要功能是创建HideSys.sys并写入相应的PE信息,然后创建相应的服务EProcess、如下图所示:

使用Atool或者Xutr等工具均可查看到隐藏的广告木马进程。

0×02 网络架构

最早可以追溯到2014年6月,放马站主要的IP地址如下:

221.215.123.*60.209.124.*221.215.160.*119.167.*.*124.129.3.*124.129.149.*

放马服务器所在山东近期活跃记录。

uup.chao*.net域名注册地址

邮箱:li***@126.com

注册时间:2014-03-03

过期时间:2016-03-03

所有者位置:山东省青岛市城阳区正阳路491号

0×03 总结

广告类木马以利益为趋势,随着广告联盟推波助澜,不断变更技术,增强对抗能力,包括利用最新公布的漏洞进行传播,利用Rootkit技术隐藏自身,广告类木马一个典型特征是获利资金链条相对清晰,可以利用计费ID去追踪受益者。

*作者:安天追影团队,来自FreeBuf


免费评分

参与人数 1热心值 +1 收起 理由
willJ + 1 鼓励转贴优秀软件安全工具和文档!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

ll988600 发表于 2015-11-24 18:24
沙发 支持楼主
kugoo88 发表于 2015-11-24 18:36
ywnsywkl 发表于 2015-11-24 18:53
系统大玩家 发表于 2015-11-24 19:12
学习了·························
1485573943 发表于 2015-11-24 22:07
安全实验室写出的安全分析报告总是能让我开拓思路!
xiaomi1991 发表于 2016-4-8 10:50
支持楼主 学习了
kali-cc 发表于 2016-8-17 15:29
这样的平台很多啊
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 13:55

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表