吾愛破解 - LCG - LSG |安卓破解|病毒分析|破解軟件|www.2dw61quu.icu

 找回密碼
 注冊[Register]

QQ登錄

只需一步,快速開始

搜索
查看: 9759|回復: 138
上一主題 下一主題

[轉載] 披露報告:流氓家族竊取用戶瀏覽隱私活動

    [復制鏈接]
跳轉到指定樓層
樓主
bambooslip 發表于 2019-11-21 10:35 回帖獎勵
使用論壇附件上傳樣本壓縮包時必須使用壓縮密碼保護,壓縮密碼:52pojie,否則會導致論壇被殺毒軟件等誤報,論壇有權隨時刪除相關附件和帖子!


1、概述
近期毒霸安全團隊通過“捕風”威脅感知系統監控到一起大規模竊取用戶瀏覽器隱私的流氓病毒活動,源頭為“上海**網絡科技有限公司”旗下的“*圖看看”軟件,除了收集主流瀏覽器的歷史訪問記錄外,還會定向收集“m****v.com”的cookies上報,推測屬于第三方廣告營銷平臺合作行為,可能被用于廣告營銷商業效果評估等用途。

image1.png (33.14 KB, 下載次數: 0)
下載附件 [url=]保存到相冊[/url]昨天 20:36 上傳


通過深入溯源關聯分析,我們還發現用于推送瀏覽器隱私收集插件的LUA云控模塊“LuaRtl.dll”還廣泛存在于“快*”、“小*記事本”、“小*便簽”、“*pdf ”、“麥*助手”、“A**看圖”、“光*搜索”、“7***瀏覽器”、“小*壁紙”等數十款軟件中。除此之外,我們還發現多類涉及用戶隱私收集或劫持的病毒插件模塊,包括“htkkinforeport_dll.dll”、“UrlReport_dll.dll”、“BrowserLink.dll”等。從我們的長期監控來看,上述軟件的云控機制也在不斷迭代升級,加強對抗監控分析能力,在技術上強調靈活性和隱蔽性,攻擊過程文件不落地,惡意模塊通過LUA腳本引擎、Shellcode注入以及DLL反射裝載等“無文件”技術手段下放執行,配合環境規避、代碼混淆、反調試等靈活對抗機制,給傳統安全軟件的監控檢測也帶來一定的困擾。

上述軟件大多有正常軟件功能包裝,安裝活躍用戶較多,如此大規模的隱私竊取活動在業內也比較罕見。瀏覽器訪問歷史、Cookies對于用戶來說不僅是非常重要的個人隱私,更是賬號身份安全認證信息,這樣重要的個人信息被不法軟件大規模收集,被用于“大數據”分析對用戶進行 “精準畫像”,包括“定制信息推送”、“精準廣告投放”、“用戶行為預測”、“轉化分析”、“反作弊分析”等等商業用途。

“技術無罪”的論調下,黑與白的界限似乎變得模糊,一方面是用戶和信息之間更快速高效的匹配,商家降低獲客成本;但是另一方面是個人隱私無限制的泄露,隨之而來的各種廣告騷擾和安全隱患。無論如何用戶對于自身隱私被收集利用應該具備知情權,所以我們決定披露這一起針對用戶瀏覽器隱私進行收集竊取的流氓病毒活動。

云控模塊推送隱私收集插件的主要流程如下:

image2.png (86.3 KB, 下載次數: 0)
下載附件 [url=]保存到相冊[/url]昨天 20:36 上傳

2、技術分析
由于涉及產品眾多,本文以好*看看為例進行分析,好*看看主進程Hao**KanKan.exe會啟動當前目錄下的viewuc.exe,傳入加密參數執行,經過解密后的參數如下:

image3.png (3.08 KB, 下載次數: 0)
下載附件 [url=]保存到相冊[/url]昨天 20:37 上傳


首先讀取當前目錄下的hao**uc.jpg圖片,看似正常的圖片但末尾被附加了加密的PE文件,解開后為updatechecker_dll.dll,該模塊被內存加載后調用導出函數EnteyPoint傳入解密后的參數執行。其另外兩張同樣也是隱藏PE文件分別為Report_dll.dll和Update_dll.dll:

image4.png (208.14 KB, 下載次數: 0)
下載附件 [url=]保存到相冊[/url]昨天 20:38 上傳


進入updatechecker_dll模塊后會對命令行參數進行解析后對指定的模塊進行加載,這些模塊都被加密被存放在了注冊表中,在安裝時被就下載存入,此公司旗下產品也都是以此種方式存放功能模塊于注冊表中。updatechecker對應于注冊表項,mininews 和logo為需要加載的模塊,logouc為Lua腳本。其中logo是Lua擴展模塊,Lua腳本中的相關接口實現需要該模塊支持。

在加載模塊前會先查詢云端MD5值與本地數據MD5進行對比,不相同則下載最新文件存入。以logo模塊為例首先訪問[http]://i.hao**kankan.com/logo/v1.0.0.2/super.gif.MD5獲取該模塊MD5值,不相同再訪問[http]://i.hao**ukankan.com/logo/v1.0.0.2/super.gif進行下載。Logo解密后為Lua腳本擴展模塊LuaRtl.dll.dll,對應執行的腳本為logouc:

image5.png (406.75 KB, 下載次數: 0)
下載附件 [url=]保存到相冊[/url]昨天 20:38 上傳


在進行上述模塊解密前還會進行調試器攻擊,先調用BlockInput函數讓鼠標和鍵盤失靈,再通過PEB中的BeingDebugged調試標志位檢測是否在調試,如果正在調試則去桌面尋找fuck.debug文件,不存在直接返回不恢復鍵盤和鼠標輸入,造成調試器和整個桌面卡死的假象:

image6.png (29.03 KB, 下載次數: 0)
下載附件 [url=]保存到相冊[/url]昨天 20:38 上傳


進入解密及模塊加載功能的函數時,其函數頭部代碼已經被混淆處理:

image7.png (151.93 KB, 下載次數: 0)
下載附件 [url=]保存到相冊[/url]昨天 20:38 上傳


通過混淆代碼后會解密出Lua腳本和Lua擴展模塊,對Lua擴展模塊進行內存加載,同時載入已編譯的lua腳本,后期工作邏輯交給Lua腳本處理。對Lua腳本還原后其執行邏輯是在main函數中執行完彈窗后,會調用execute_urlreport函數進行url和cookie收集,該函數進行參數封裝后調用接口函數invoke_exe_inject,此函數在LuaRtl.dll中實現。

在LuaRtl.dl中根據傳入的參數,解密出注冊表中的隱私收集模塊logo_UrlReport (htkkinforeport_dll.dll),同時掛起創建傀儡進程E320.TMP.exe 注入shellcode和htkkinforeport_dll.dll模塊,創建遠程線程執行shellcode,由shellcode內存加載起htkkinforeport_dll.dll并調用導出函數e開始工作:

image8.png (269.4 KB, 下載次數: 0)
下載附件 [url=]保存到相冊[/url]昨天 20:38 上傳
                                
在htkkinforeport_dll.dll模塊中,首先獲取用戶硬件信息計算出唯一的UID標識用戶,再判斷使用該模塊的是旗下哪款產品,通過解密出字符串訪問相應的注冊表鍵值獲取安裝數據上報。

獲取瀏覽器歷史記錄包括了市面上的絕大部分瀏覽器:chrome,2345,360chrome,360safe,世界之窗,liebao,opera,qq,uc,IE,Mozilla,sogou。以chrome瀏覽器為例,歷史記錄都是以Sqlite數據庫存儲的,先復制一份數據到臨時目錄,通過Sqlite3庫打開數據庫執行SQL語句進行查詢,在查詢前會獲取上一次的時間戳,獲取此時間戳以后的新內容。為了直觀展示以數據庫查詢工具做演示執行sql語句:

image9.png (309.25 KB, 下載次數: 0)
下載附件 [url=]保存到相冊[/url]昨天 20:38 上傳


這些數據最終會被封裝成json格式加密后通libcurl庫發送到服務器http://h*kkinforeport.***ingzao.com/12.gif:

image10.png (346.95 KB, 下載次數: 0)
下載附件 [url=]保存到相冊[/url]昨天 20:38 上傳


瀏覽器的Cookie與歷史記錄相似也是Sqlite數據庫,同樣復制到臨時目錄,打開Cookie數據庫進行查詢操作。與查詢歷史記錄不同的是,Cookie定向收集所有包含m****v.com域名的cookie。

image11.png (420.17 KB, 下載次數: 0)
下載附件 [url=]保存到相冊[/url]昨天 20:38 上傳
                        
Cookie值在數據庫是加密存放在encrypted_value字段中的,但是加密是基于本地賬戶登錄憑證的所以解密需要在本地進行,通過調用API CryptUnprotectData進行解密并發送。

image12.png (314.49 KB, 下載次數: 0)
下載附件 [url=]保存到相冊[/url]昨天 20:39 上傳


3、總結
當下談及用戶隱私安全,普遍更多的側重于和個人信息結合更緊密的移動端APP案例,但是PC端同樣保存了非常多有價值的用戶隱私信息,相對于移動端,PC系統的安全權限設置更加寬松開放,隱私竊取的技術難度反而更低,并且現階段的用戶隱私保護政策并不完備,對于部分流氓團伙和軟件廠商來說就成為可乘之機。所以我們安全團隊建議用戶定期清理瀏覽記錄,毒霸用戶可以使用隱私清理保護功能防止個人信息泄露。



IOC
[MD5]
36593363D3F09A6D65F6670BDC115241
8E139186B82AD88B50C4A04E2C82BFE1
8D85BFC97A1DF511BBD477DB32A42E72
E5A5B8A5A9402E9154A392AC4F4D9811
0B9C5CB6201EEE56AB332AEB44802D9B
7B059DE910C2BDF3D051174F50C4C71B
75A1AE668EB6773C18CB0613A8E4BFA5
5B60924BE0F70B5D9525021C234B2070
6CCDA533CC443BAE4372858715183CF3
9FCD1DE8B96A7DDF0BDFDBAD494E4708

點評

360全家桶也是一個板上的豆腐,我的服務器硬是攔截了半年之久,就一個網絡驗證,它竟然說是建行官網,真是寧可錯殺一千,不可放過一個啊  發表于 2019-11-21 22:25

免費評分

參與人數 56吾愛幣 +44 熱心值 +43 收起 理由
qiang7290 + 1 熱心回復!
抱歉、 + 1 [email protected]
270ADC + 1 + 1 毒霸本身就是國內毒瘤,開山立派黑產宗師,跟360誰比誰更多屎!
welwenlink + 1 我很贊同!
下一站左轉 + 1 我很贊同!
idiots + 1 [email protected]
toppad + 1 + 1 [email protected]
gosling + 1 慫個雞兒,火絨發這種報告從來都不打碼的
terminator314 + 1 + 1 熱心回復!
weiwei321 + 1 + 1 我很贊同!
strmoon + 1 + 1 [email protected]
相逝相逝 + 1 + 1 我很贊同!
紅樓一夢 + 1 + 1 特別想問問 網警 這類公司算不算非法 入侵
zedong + 1 + 1 我很贊同!
qidians + 1 看到第一張圖片,還以為國際瀏覽器都是流氓。差點卸載,明顯的誤導
hyc208 + 1 + 1 我很贊同!
喬瑟夫喬斯達 + 1 + 1 [email protected]
霧落塵 + 1 + 1 軟件是好圖看看
lc11535 + 1 我很贊同!
fengye1998 + 1 小伙子獨霸給你多少錢我360給你十倍你把毒霸換成我
zcylw + 1 + 1 我很贊同!
hhhccc1234 + 1 + 1 用心討論,共獲提升!
小得意 + 1 只許州官放火,不許百姓電燈,最大的流氓軟件,鎖主頁,鎖瀏覽器。現在你在.
mouse565 + 1 + 1 我很贊同!
menglingkai2008 + 1 熱心回復!
張歐爸 + 1 毒霸本身就是國內毒瘤,開山立派黑產宗師,跟360誰比誰更多屎!
gison + 1 用心討論,共獲提升!
iLouis + 1 + 1 我很贊同!
ctOS_ + 1 + 1 軟件還是用正規的好
orangtan + 1 [email protected]
三千十三 + 1 + 1 我很贊同!
Guijing + 1 + 1 最終網絡流氓,祝早日入土
云夢不歸人 + 1 我很贊同!
TNB + 1 我很贊同!
allen-xy + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
Aleshaaaa + 1 + 1 [email protected]
94079490 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
椎名牧 + 1 + 1 [email protected]
erlang0008 + 1 + 1 我很贊同!
WgagaXnunigo + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
ciker_li + 1 + 1 我很贊同!
深淵莫冥 + 1 [email protected]
洛小秋 + 1 + 1 網絡水太深了吧
萌鬼出沒 + 1 + 1 熱心回復!
lookerJ + 1 + 1 熱心回復!
吾愛科學 + 1 熱心回復!
gy55you + 1 慫個雞兒,火絨發這種報告從來都不打碼的
tzxinqing -1 毒霸本身就是國內毒瘤,開山立派黑產宗師,跟360誰比誰更多屎!
互聯網事 + 1 毒霸本身就是國內毒瘤,開山立派黑產宗師,跟360誰比誰更多屎!
505695437 + 1 反正我上次看到毒霸也推廣雙11了
孤者與海 + 1 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
dalao318 + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
willJ + 1 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
thinkpad_420 + 1 + 1 熱心回復!
xspxsp123 + 1 + 1 我很贊同!
dsb2468 + 1 + 1 [email protected]

查看全部評分

發帖前要善用論壇搜索功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

推薦
gy55you 發表于 2019-11-21 17:31
慫個雞兒,火絨發這種報告從來都不打碼的
推薦
abcxyzmn 發表于 2019-11-21 15:48
軟件等等,電腦、網絡應用為什么這么多“流氓”?

因素很多,大環境,國外估計很少吧?

簡單的對比,從上網 看,外國網頁打開,清爽干凈,網站是干什么的,打開的網頁就是什么,基本沒有彈窗、對聯、小窗口等等、以及等等等等,看內,好多有名的大網站,都是明明白白的干,毫不臉紅,還理直氣壯?腰桿子似乎很硬,誰給的底氣?

不能說了。只能大家自己注意,別點錯了!!!
推薦
move 發表于 2019-11-21 19:19
山仔自己的屁股都沒擦干凈,掩蓋自己雙十一的罪行?
5#
yleshinimab 發表于 2019-11-21 10:45
牛啊,好好學習中!!!!!!!!!!!
6#
夕臨垓下 發表于 2019-11-21 10:54
你提到的軟件我有個同學裝了全家桶
7#
xiaojiang_320 發表于 2019-11-21 10:57
為啥還要打馬賽克,怕報復?
8#
NO‘XIAO5 發表于 2019-11-21 11:02
你這不說全軟件名讓人怎么預防
9#
sexgod 發表于 2019-11-21 11:04
對于這種軟件,就i不用*代替了,直接曝光
10#
jzyyy 發表于 2019-11-21 11:14
不說名字哪知道是哪個全家桶啊,這么多全家桶
11#
www.2dw61quu.icu 發表于 2019-11-21 11:18
好圖看看?

這為啥打碼?
12#
孤獨時代的寵兒 發表于 2019-11-21 11:19
2345廣告家族的吧,哈哈哈
13#
桂花糕乀 發表于 2019-11-21 11:26
正在研究!
您需要登錄后才可以回帖 登錄 | 注冊[Register]

本版積分規則 警告:禁止回復與主題無關內容,違者重罰!

快速回復 收藏帖子 返回列表 搜索

RSS訂閱|小黑屋|聯系我們|吾愛破解 - LCG - LSG ( 京ICP備16042023號 | 京公網安備 11010502030087號 )

GMT+8, 2020-1-15 19:26

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回復 返回頂部 返回列表
快手网红