CeidPageLock将中国人作为攻击目标的恶意软件

  • A+
所属分类:网络安全新闻

CeidPageLock将中国人作为攻击目标的恶意软件

Check Point在最新公布的一份报告中指出,在过去的几周里,他们一直在观察一个由RIG Exploit kit分发的rootkit(一种特殊的恶意软件,一般都和木马、后门等其他恶意程序结合使用),名为“CEIDPageLock”。

这个rootkit最初是由360安全中心在几个月前发现的,当时它被发现试图篡改受害者浏览器的主页。事实上,这正是CEIDPageLock的本质——一个浏览器劫持者。CEIDPageLock的主要功能就是篡改受害者的浏览器,并将其主页替换成一个虚假的2345.com网站页面——一个中文网址导航网站。

虽然对于一个浏览器劫持者来说,CEIDPageLock的旧版本就已经相当复杂了,但由Check Point在实际攻击活动中所观察到的新版本包含了一些显著的改进,使得它更加有效。其中最主要的改进之一是增添了一项新功能,可以监视受害者浏览的内容,并在受害者试图访问一些热门的中文网站时,将其内容动态替换为虚假页面。

利用类似于CEIDPageLock这样的恶意软件来进行浏览器劫持被证实是有利可图的,因为通过将受害者重定向到某些搜索引擎,攻击者可以从“雇主”那里拿到广告收入分成。此外,CEIDPageLock的运营者还使用了多种劫持技术来收集受害者的浏览数据——监视受害者访问的网站以及他们在这些网页上所花费的时间。因此,他们完全可以利用这些信息来为自己的广告活动选定目标,或者将这些信息出售给其他想要利用这些信息来开展营销活动的公司。

根据Check Point的全球威胁传感器网络监测威胁数据,CEIDPageLock主要针对了中国人,而在中国以外的感染数量几乎可以忽略不计。

Dropper

dropper的主要作用是提取驻留在文件中的驱动程序,并将其保存在“\\Windows\\Temp”文件夹下,名为“houzi.sys”。(在旧版本中,这个驱动程序名为“CEID.sys”,该恶意软件的命名也是由此而来的)。

被释放的驱动程序拥有一个经签署的证书:

[+]浙江恒歌网络科技有限公司

[+]Thawte代码签名CA – G2

[+]thawte

尽管如此,这个证书实际上早就已经被其颁发者撤销了。

在注册并启动驱动程序后,dropper会将受感染计算机的mac地址和用户标识(user-id)发送到www[.]tj999[.]top,并带有以下标头:

“GET /tongji.php?userid=%s&mac=%s HTTP/1.1”

驱动程序

CEIDPageLock的驱动程序是一个32位内核模式驱动程序,并使用了一些技巧来规避端点安全产品。它的主要作用是连接两个硬编码的C&C服务器中的一个,以便下载篡改浏览器所需的主页配置信息。在使用以下标头时,加密的主页配置信息将从C&C服务器被下载:

CeidPageLock将中国人作为攻击目标的恶意软件

解密后的主页配置信息取自588[.]gychina[.],而被劫持主页的URL为111[.]l2345[.]cn。它伪装成2345.com,实际上会在暗地里收集受害者的统计信息,并从受害者在该页面的每次搜索查询中获利。

有关旧版本更深入的技术分析可以在360安全公司的文章中找到。下面我们将重点介绍新旧版本之间的一些差异,以及新增的功能。

新旧版本之间的差异

与旧版本相比,新版本的CEIDPageLock经过了VMProtect的打包,这使得分析和解包变得相对困难,特别是对于内核模式驱动程序来说。

新版CEIDPageLock的一个主要新增功能是“重定向(redirection)”方法,当受害者试图访问几个热门的中文网站时,就会被重定向到虚假主页。当新版CEIDPageLock启动时,它会打开“\\Driver\\AFD”并hook它的AfdFastIoDeviceControl方法。使用这种方法,它会检查每一个发出的HTTP信息,以找出是否存在以下字符串中的任意一个。

如果在HTTP数据包中找到了其中任意一个字符串,它则会将该进程添加到“重定向进程(redirected processes)”列表中。然后,它会在每一个收到的信息中检查调用recv方法的进程是否属于该列表。如果属于,它则会将响应内容修改为111[.]l2345[.]cn页面的内容。这种方法比执行实际的HTTP重定向更加狡猾,因为浏览器中显示的URL不会发生任何改变。

正如360安全公司在针对旧版本的分析中所描述的那样,CEIDPageLock会阻止浏览器访问多个与反病毒软件相关联的文件。在新版本中,CEIDPageLock的开发者为它添加了更多的此类文件。

此外,CEIDPageLock的开发者还为新版本增添了一种在360安全卫士中创建注册表项的方法,作为新版CEIDPageLock安装例程的一部分。新版CEIDPageLock会在注册表项\Registry\Machine\Software\Wow6432Node\360Safe\safemon\ATHPJUMP”下设置值“0”。

结论

乍一看,编写一个充当浏览器劫持者的rootkit,并为它采用诸如VMProtect之类的复杂保护机制,似乎有些过头了。然而,这种简单的恶意技术似乎是非常有利可图的,因此攻击者认为值得投资为其构建一个隐秘而持久的工具。

此外,虽然CEIDPageLock可能看起来只是非常复杂,且并不构成太大的威胁,但我们应该注意的是,它具备在内存操作时在受感染设备上执行代码的能力。再加上该恶意软件的持久性,使得它完全能够成为一个潜在的“完美”后门。

IOCs

www[.]tj999[.]top

42.51.223.86

118.193.211.11

MD5:

C7A5241567B504F2DF18D085A4DDE559 – 打包后的dropper

F7CAF6B189466895D0508EEB8FC25948 – houzi.sys

1A179E3A93BF3B59738CBE7BB25F72AB – 未打包的dropper

  • 服务器购买微信群
  • 阿里云&腾讯云&国外VPS
  • weinxin
  • 服务器购买QQ群
  • 阿里云&腾讯云&国外VPS
  • weinxin
CE安全网

发表评论

您必须登录才能发表评论!