潘多拉魔盒開啟：全國多省爆發大規模軟體升級劫持攻擊

不久前，Petya勒索病毒變種在烏克蘭爆發，並蔓延到歐洲多個國家的大型企業。病毒攻擊的根源是劫持了烏克蘭專用會計軟體me-doc的升級程序，使用戶更新軟體時感染病毒，從而對眾多企業的系統和數據造成慘重損失。

劫持軟體升級「投毒」並不是新鮮的攻擊手法，國內也屢有發生。但就在Petya勒索病毒變種轟動全球后短短數天時間內，山東、山西、福建、浙江等多省的軟體升級劫持達到空前規模，360安全衛士對此類攻擊的單日攔截量突破40萬次！

儘管國內的軟體升級劫持目前僅僅被利用流氓推廣軟體，但是大規模的網路劫持、大量缺乏安全升級機制的軟體，如果再加上「商業模式」非常成熟的勒索病毒，無疑會造成災難性後果。

事件還原

近期有多款軟體用戶密集反映360「誤報了軟體的升級程序」，但事實上，這些軟體的升級程序已經被不法分子惡意替換。

下圖就是一例愛奇藝客戶端升級程序被劫持的下載過程：可以看到伺服器返回了302跳轉，把下載地址指向了一個並不屬於愛奇藝的CDN伺服器地址，導致下載回來的安裝包變為被不法分子篡改過的推廣程序。

圖1 遭302跳轉劫持的下載鏈接

此次被劫持升級程序的流行軟體遠不止愛奇藝一家，下圖就是一些由於網路劫持而出現的「假軟體」。

圖2被網路劫持替換的「假軟體」

以下，我們以偽造的百度網盤安裝程序「BaiduNetdisk_5.5.4.exe」為例分析一下惡意程序的行為。

與正常的安裝程序相比，該程序不具備合法的數字簽名，並且體積較大。

圖3被篡改的偽裝安裝程序

圖4正常的安裝程序

通過對比可以發現，兩者在內容上還是有較大差別。兩者只有8.7%的函數內容相同。

圖5偽裝安裝程序和正常安裝程序函數對比

程序最初執行時會從從資源段中釋放一個PE文件並執行，該文件就是程序所偽裝的正常安裝包。因此，該偽裝程序是在運行正常安裝包的同時靜默安裝其他推廣程序。在正常安裝包運行時，本程序會讀取bjftzt.cdn.powercdn.com站點的子目錄下的一個dat文件的內容，dat文件路徑根據安裝程序不同而不同，本文分析的程序「BaiduNetdisk_5.5.4.exe」所讀取的是bjftzt.cdn.powercdn.com/upc/20170329/2A7BF0576BE7380A30B8669182226FBD.dat。程序請求數據包內容如下圖所示：

圖6 請求數據包內容

所讀取的dat文件的內容如下圖所示：

dat文件中的內容經過base64+DES加密。DES密鑰經過簡單加密后硬編碼在程序中，下圖展示了DES密鑰的解密過程：

圖8 DES密鑰解密過程

解密后得到的DES密鑰為「eh9ji8pf」。經分析發現多款偽裝程序使用同一個DES密鑰。

之後程序對dat文件的內容進行base64+DES解密，解密函數如下圖所示：

圖9 解密函數

解密后得到的文件內容如下圖所示。不難看出，文件內容為一個配置列表，列表中包括多個需要推廣的應用程序名稱、應用程序下載鏈接、程序啟動參數、卸載對應的註冊表項等信息：

圖10 解密后的dat文件內容

之後程序會從配置列表中選取一個推廣程序的下載鏈接，下載推廣程序並安裝在受害者電腦上：

圖11 下載推廣程序的請求包內容

而以上流氓推廣行為完成後，安裝包會回歸到原始的正常安裝流程，以此來掩人耳目。

根據360安全衛士的持續監控和攔截，該劫持行為從今年3月底就已經開始出現，360一直在持續跟進查殺，近日來則突然出現了爆發趨勢，為此360安全衛士官方微博公開發布了警報。

7月4日，也就是在360發布軟體升級劫持攻擊警報后，此類攻擊行為出現了一定程度下降。

圖12 網路劫持量走勢

根據已有數據統計顯示，受到此次劫持事件影響的用戶已經超過百萬。而這些被劫持的用戶絕大多數來自於山東地區。另外，山西、福建、浙江、新疆、河南等地也有一定規模爆發。

圖13 被劫持用戶地域分佈

在此提醒各大軟體廠商，軟體更新盡量採用https加密傳輸的方式進行升級，以防被網路劫持惡意利用。對於普通互聯網用戶，360安全衛士「主動防禦」能夠攔截並查殺利用軟體升級投放到用戶電腦里的惡意程序，建議用戶更新軟體時開啟安全防護。

圖14 360安全衛士攔截軟體升級劫持「投毒」

圖15：VT檢測結果，國內僅360查殺此次軟體升級劫持攻擊樣本