• :
  • 音乐软件暗藏“玄机”,个人隐私被无形暴露!-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    [交流讨论] 音乐软件暗藏“玄机”,个人隐私被无形暴露!

    [复制链接]
  • TA的每日心情
    奋斗
    2019-4-27 09:58
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2020-3-27 16:05:43 只看该作者
    提交问题
    QQ: 隐藏内容
    毒霸版本: 6.1.1
    操作系统: windows 10 32位

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x
    背景描述
    想必各位会在工作和学习之余会打开音乐播放器,来一首自己喜欢的歌曲,当你沉醉其中时,这背后却隐藏着一个无形的盗窃者。

    近期,毒霸安全团队通过“捕风”威胁感知系统再次监控到一起针对用户Cookie隐私的窃密攻击活动,溯源分析发现传播母体为音乐播放器“九酷音乐”客户端,该播放器在今年3月初构建的新版本中加入后门插件,主要通过指定关键词筛选窃取用户百度、360、阿里1688等网站平台的Cookie信息,支持包括IE、谷歌、360、QQ等主流浏览器。

    简单来说,Cookie就是网站给用户的登陆证书,某种程度上代表用户身份凭证,是非常重要的安全隐私数据。广告平台也往往通过植入第三方Cookie追踪用户网络习惯进行精准广告推送,对于黑灰产业则更加简单粗暴,直接窃取用户Cookie用于网页暗刷、SEO搜索排名优化等,以真实用户身份绕过厂商日益严格的风控准则。甚至直接打包出售给第三方平台用于用户画像分析,或者租售给灰产链条下游的从业者或工作室,已经成为成熟的产业链条。

    从18年开始,我们安全团队已经发现多起针对用户Cookie进行非法收集的安全事件,以我们本次发现的“九酷音乐”客户端盗窃Cookie为例,下图为行为流程图:
    流程图.png

    溯源分析
    我们在通过溯源过程中发现,最后的数据上传地址Kp.wwgfg.cn是做搜索引擎SEO“快排系统”的,也是通过该网站关联到主站wwgfg.cn,这个主站主要是在推广九酷音乐和头条军事,该网站的备案公司和病毒母体“九酷音乐安装包”的数字签名均为“郑州北润信息技术有限公司”。
    主站截图.png
    数字签名.png

    其中Kp.wwgfg.cn的“快排系统”则是利用从用户窃取到的Cookie作为支撑,因为搜索引擎其实一直在提升用户的搜索体验,一般来说搜索引擎中都会包含一个评价组件利用用户“搜索关键字”、“点击选择站点”和“站点中停留时长”的信息来调整搜索关键字中各个网站的排名,所以利用“每个Cookie都是一个真实用户”的特性绕开现在各个厂商日益严格的风控标准,能够快速且高效的提升网站在搜索引擎中的排名。也正是因为这些原因,围绕着搜索引擎Cookie的背后已经形成一条完整的产业链,从大量窃取网民“搜索引擎Cookie”信息到公开的贩卖出售,以百度Cookie为例,以下是目前的报价信息。
    百度Cookie报价.png


    通过注册此“快排系统”查看目前所支持的业务只有百度PC搜索,我们以一个在百度搜索中排名位于第三页的一个网站为例,为这个网站刷量一天所需的费用在四百多元,但收益和它的建立成本比起来,可以说这其中有非常大的利润空间了。
    untitled24.png
    快排刷量价格.png

    技术分析
    解密加载user.dat
    在九酷音乐执行文件目录下有一个加密文件user.dat,这个独立的加密文件中包含窃取用户浏览器Cookie的恶意代码。九酷音乐在启动时加载user.dat,使用内置密钥‘aa930e3741d6e91d’对文件进行解密,加密算法为XXTEA,利用内存反射加载解密后的模块。
    加载模块.png

    盗取用户搜索网址Cookie上传
    首先是把目标锁定在IE浏览器,得到IE浏览器保存Cookie的文件夹,获取需要得到的Cookie站点列表,以下为获取网站列表的大致信息。这其中的网站就包括了百度、360和阿里1688。
    cookie站点.png

    以下获取百度网站为例,通过关键字比对遍历IE浏览器下的Cookie文件查找指定站点的Cookie文件获取其中有效Cookie数据,例如通过"tieba.baidu.com"对比IE的Cookie文件名中的关键字。将获取Cookie上传到"http://api.a.3whospital.com/action/report",后续从IE浏览器中得获取其他站点Cookie也是通过相同方法获取上传到同一云端的。
    untitled6.png
    untitled10.png

    第二部份在于获取谷歌、360、qq浏览器等市面上主流浏览器的Cookie数据,先后两次获取浏览器中上述网站列表中的Cookie数据分两次上传,第一次上传到"yky.ykyche.com",第二次则是和IE浏览器上传地址相同都为"http://api.a.3whospital.com/action/report"。
    untitled15.png

    这些浏览器的cookie获取和IE稍有些不同,它的站点Cookie数据都是保存在一个本地的Cookie数据库文件当中。首先获取浏览器保存的Cookie文件路径并校验文件是否存在。
    3aabd3ae-1d75-4651-b238-05ca9b0131df.png
    通过指定网站去构建sql查询语句,例如"select name,encrypted_value from cookies where host_key='tieba.baidu.com'",查询本地浏览器Cookie数据库文件,获取网站的Cookie。
    11b5be99-0f4b-4a73-8090-984e72738286.png

    将获取到的Cookie数据上传到云端,以下为使用wireshark抓取的上传数据包。
    b340347c-a9f3-40ee-94ec-0577eb43f9b3.png

    最后再将之前所获取的BAIDUID上传到“http://kp.wwgfg.cn/api/Charging/CookiesReport”。
    上传BAIDUID.png


    总结
    如今网络安全形势日渐严峻,用户的信息越来越无法得到保障,你甚至无法想象一个已经存在多年且外表看似清爽的音乐播放软件,背后竟然会窃取用户个人隐私信息谋取私利。对于这种防不胜防的恶意程序,推荐大家及时的安装金山毒霸,可以有效的拦截此类恶意软件。大家也可以在金山毒霸的软件管家中下载安全可靠的软件。
    009ff6db-0088-4ece-b376-a567f11c42e6.png


    IOC
    MD5:
    6E81D1CF1AAF95E24765321E2834D5D0
    137729A409F1CF3061A0AD7FAEF1C7F1

    URL:
    http://api.a.3whospital.com/action/report
    http://yky.ykyche.com:45678/api/ck.php
    http://kp.wwgfg.cn/api/Charging/CookiesReport



    使用道具 举报 回复
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则