• :
  • 安全预警:“速浪”家族构建VPN暗刷网络,百万用户遭遇安全危机-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    [交流讨论] 安全预警:“速浪”家族构建VPN暗刷网络,百万用户遭遇安全危机

    [复制链接]
  • TA的每日心情
    开心
    2016-8-18 14:27
  • 签到天数: 34 天

    [LV.5]常住居民I

    发表于 2019-4-15 11:44:33 只看该作者
    提交问题
    QQ: 隐藏内容
    毒霸版本: ALL
    操作系统: windows 10 64位

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x
    微信图片_20181215123845.jpg
    一、 背景概述
    “速浪”家族从2014年开始一直是国内活跃流氓软件的佼佼者,其早期关联变种还包括“稻草人家族”、“考拉家族”等,该系列家族除了强锁主页、静默推广、强制弹窗等常见流氓行为外,核心恶意功能还包括构建流量暗刷僵尸网络。

    近期毒霸“捕风”威胁感知系统还监控到“速浪”家族秘密构建了一个庞大的VPN暗刷僵尸网络,病毒程序利用RAS(windows系统远程访问服务)连接云控指定的VPN服务器,并在用户系统中安装执行开源代理软件Shadowsocks服务端,其目的就是通过VPN服务将所有感染用户接入到同一虚拟局域网下实现网络穿透,感染用户彻底沦为网络代理节点后,病毒服务端就可以在局域网内控制任意用户节点执行网络访问。
    image1.png
    如上图所示,感染用户成为僵尸代理节点后不仅会被占用大量网络资源被用于流量暗刷,更大的网络安全隐患在于,感染主机直接暴露在病毒构建的庞大VPN虚拟局域网内,而该VPN网络的接入密码凭证是硬编码在病毒文件中的,网络节点间并不存在任何安全信任关系,任何人都可以伪装接入该僵尸网络接管所有感染节点或进行内网扫描攻击。
    从我们的历史监控数据回溯看,“速浪”家族最早从2018年就开始通过VPN代理木马组建僵尸网络,而本次变种从2019年3月底开始加强活跃程度,目前正通过其旗下的“速浪输入法”、“极速压缩”等软件的云控模块进行大范围传播。从特殊渠道的监控数据看,“速浪”家族软件的全网历史安装总量过亿,在国内多家安全软件的追杀之下,部分流氓变种至今依旧保有百万级活跃量,所以该VPN僵尸网络一旦被黑客恶意利用就会造成非常严重的安全影响。
    image2.png
    除了VPN代理僵尸网络,“速浪”家族在流量暗刷方面也是前科累累。如上图,毒霸安全团队在2017年8月份曾监控到“速浪输入法”通过云控下载“YY直播”暗刷木马,通过后台登陆僵尸粉丝账号,模拟操作“YY直播”刷量增加主播房间人气。友商腾讯“御见”安全团队曾在去年针对该直播刷量木马发布过技术分析披露,所以此处不再赘述,详情可参考文章末尾报告链接。


    二、 技术分析
    image3.png
    如上图所示,“速浪”VPN代理木马的整体流程并不复杂,以“极速压缩”为例,安装包释放“Potity.exe”并注册为系统服务实现自启动,该模块主要负责联网下载核心模块“tix.exe”并循环更新。而“tix.exe”的功能主要分为“初始配置”和“云控工作”两大部分:

    1) 初始化配置部分
    从模块资源中解压释放Shadowsocks服务端“ssserver.exe”和RAS连接配置文件“Rasphone.pbk”到程序安装目录下,随后病毒模块修改系统防火墙配置,将模块自身、代理服务端以及代理端口加入放行列表。最后启动其代理服务端“ssserver.exe”,该程序基于开源项目go-shadowsocks2改造编译,配置选项硬编码在命令行参数中,加密协议为“AES-256-CFB”。
    image4.png
    2) 云控工作部分
    完成基础文件的释放配置后,病毒进入云控工作部分,首先循环尝试向服务端请求RAS连接的目标服务器IP,随后设置到配置文件并通过Rasdial拨号尝试连接VPN网络。成功建立连接以后则向服务器报告节点的内网IP和代理端口信息,成功以后服务器返回节点ID,病毒程序通过此ID和服务器保持循环心跳通信。
    image5.png

    如下,感染节点加入病毒创建的VPN虚拟局域网,控制端收到节点上报信息后就可以通过内网IP连接其代理服务端口,执行流量暗刷等网络任务。
    image6.png
    3) 安全风险分析
    如前文所述,抛开感染用户被“速浪”家族用于流量暗刷造成的安全影响不谈,这一僵尸代理网络架构本身就存在巨大的安全漏洞,黑客可以通过协议探测到所有VPN服务器IP地址,其账号密码包括代理密码也均硬编码在病毒文件中,接入VPN网络的同时就意味着控制了数十万的代理节点,所有的感染系统也同时暴露在黑客的枪口之下。
    我们通过协议请求获取了部分VPN服务器IP,然后通过端口扫描和无损漏洞探测等技术手段对该僵尸网络的小范围IP段进行了安全评估,结果并不容乐观,不仅可以轻易接管控制所有网络代理节点,暴露在内网的部分机器也很容易沦为黑客攻击目标。
    image7.png

    三、 附录IOC
    (*: 出于安全风险考虑,防止代理僵尸网络被恶意利用,隐去部分敏感信息)
    URL
    HASH:
    CD68652698832F531FECE60A2B0055E3
    EA2015F2216DD6DB2127AD96A0EB51A5
    00B0D1A98DC92403F16950D26E630C68
    358E8AAFE536791E1E5E257520C4D441

    四、 附录参考
    《违规软件再添新业务,秒变直播僵尸粉刷量造假》
    使用道具 举报 回复
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则