木桶效应:由搜狐影音广告被挂马引发的思考

0x00 事件起因

从5月底开始,360云安全系统监测到一个名为“中国插件联盟”的下载者木马感染量暴涨。令人匪夷所思的是,该木马的下载通道竟然是多款用户量上千万甚至过亿的播放器客户端。

起初,我们怀疑这些播放器的升级文件被木马进行了网络劫持。通过对木马下载重灾区搜狐影音的分析,我们发现搜狐影音对网络下载的运行代码做了完整性 校验,但并没有对安全性做校验,比如签名信息等,确实可以被劫持升级种木马。不过从数据分析显示,这一波利用播放器下载的木马分布在全国不同地域、不同运 营商,基本可以排除网络劫持的可能性。

真正的问题出在哪里呢?我们在网友反馈中找到“中国插件联盟”的受害者,联系受害者在真实环境中查找线索,力图从源头上遏制该木马的传播,而不仅仅 是查杀掉木马。对受害用户调查显示,中招电脑上的搜狐影音通过官方渠道安装,本身没有捆绑木马;在此次中招前大约一个月时间内,电脑也没有执行过可疑程 序。那么最大的可能性就是,搜狐影音被第三方挂马了!

经过重点监测和测试验证,我们发现在搜狐影音客户端展示的一个私服广告页面,带有IE远程代码执行漏洞(CVE-2014-6332)的挂马代码,可以利用搜狐影音去执行木马代码。

进一步调查证明,中招电脑绝大多数为XP系统,少数是没有打补丁的Win7、Win8系统;搜狐影音的挂马则来自第三方广告联盟,这也是有多款播放器成为挂马通道的重要原因。

由于杀毒软件对浏览器进程防护比较严密,即使漏洞被触发,一般也能保证挂马攻击不会逃逸。但对于播放器等可以加载网页广告的其他客户端,则成为众多杀软的防护盲区。挂马攻击通过客户端广告触发,用户只要启动播放器就可能中招。

由于播放器挂马异常隐蔽且行踪不定,受影响播放器的用户量又非常庞大,为此360安全卫士快速升级增加了对播放器等客户端的防挂马支持,以应对流行 软件引入第三方内容带来的安全隐患。从6月1日至6月25日,360对播放器挂马的拦截量累计已达到3537406次,这也是今年以来国内最大规模的木马 攻击事件。

enter image description here

搜狐影音执行木马脚本

enter image description here

图:360拦截播放器挂马

0x01 攻击原理

此次播放器挂马攻击,利用的是2014年公开的IE神洞CVE-2014-6332,漏洞起因是VBScript虚拟机中的一个整型溢出,具体触发 原理在此略过,网上已有很多详细分析。使用IE内核做页面展示的软件,如果调用到了VBScript,都可能触发这个漏洞。另外由于该漏洞是在XP停服之 后公开的,XP系统将永久受到此漏洞影响。

enter image description here

攻击原理图

0x02 案例分析

我们分析了搜狐影音被攻击的过程,国内还有一些知名软件存在同样问题,搜狐影音则是第一波大规模攻击时木马利用的客户端。 首先,搜狐影音在其内部加入了WebBrowser的支持,使用的内核是系统的IE内核,通过这个内核来展示页面内容和广告:

enter image description here

搜狐影音的主界面以及展示的广告

系统的IE内核支持对VBScript的解析,并调用到了VB虚拟机,如果通过WebBrowser解析的页面中存在vbs脚本,脚本就会交给VB虚拟机执行。

enter image description here

搜狐影音客户端页面内展示的广告,有一部分来自广告联盟和各种营销平台:

enter image description here

分析发现在一个被展示的私服广告页面中,被插入了一个恶意的iframe标签,标签内容带有一段vbs脚本:

enter image description here

通过对脚本进行解密,发现其中包含了6332漏洞利用代码,这段代码是由网上公开的一段poc改造而来。

enter image description here

最终,成功利用SHRes执行攻击脚本,通过cmd写入一个vbs脚本执行:

enter image description here

在对攻击代码的分析中,我们发现至少包含了这两种攻击脚本:

enter image description here

enter image description here

0x03 PlayLoad分析

脚本执行之后,会从指定url下载一个可执行文件执行,下载的这个可执行文件是一个叫“中国插件联盟”的下载者。它会继续下载一个下载者、一个远控 木马和大量安装包到本地,新下载的下载者继续下载安装包,形成连环静默推广之势(可怜的用户电脑呀),被推广的软件包括瑞星、色彩看看,语音朗读小说阅读 器,61一键启动,护眼神器,武汉网知力,美图浏览,天天9块9(有二次推广)等。

enter image description here

图:中招电脑惨不忍睹

远控木马则通过一系列手法隐藏自身,同时操作注册表写入服务,使远控木马开机自启动。

enter image description here

图:播放器挂马行为链

[via@drop wooyun] 注:文章系授权转载,请勿在未获得乌云知识库授权的情况下转载本文。

91Ri.org:想起乌云的一个案例《我是如何黑掉网易首页的》,跟本次异曲同工,从这里我们再一次见证了一个定义:安全是一个整体,保证安全不在于强大的地方有多强大,而在于真正薄弱的地方在哪里。