美文网首页花无涯带你走进黑客世界 移动 前端 Python Android Java黑客
花无涯:净网大师ADSafe 暗藏恶意代码 劫持流量

花无涯:净网大师ADSafe 暗藏恶意代码 劫持流量

作者: 黑客_花无涯 | 来源:发表于2018-03-23 14:12 被阅读66次

    ADSafe净网大师”、”清网卫士”、 “广告过滤大师”等多款知名软件暗藏恶意代码。

    2017全年技术文章集合贴(花无涯带你走进黑客世界系列)

    推荐几个靠谱的:

    1.保护伞 黑客协会定制版 (电脑pc版本)  百度可以找到

    2. AdAway广告走开,安卓广告屏蔽器!(手机安卓版) 百度可以找到

    3.屏蔽裤子

    一、概述

    日前,火绒安全团队发现”ADSafe净网大师”、”清网卫士”、 “广告过滤大师”等多款知名软件暗藏恶意代码,偷偷劫持用户流量。这些软件出自同一公司,功能类似,主要是屏蔽网页广告。根据技术分析,三款软件都会通过替换计费名(不同网站和上游分成的标识)的方式来劫持流量,牟取暴利。其劫持网站数量为近年最多,已达50余家,包括国内多家知名导航站、电商以及在线消费交易平台等。更可怕的是,”ADSafe”劫持规则可随时通过远程操作被修改,不排除其将来用来执行其他恶意行为的可能性,存在极大安全隐患。

    火绒安全团队发现,”ADSafe”官网的软件版本虽然停留在v4.0.610,但其论坛、下载站中却发布了v5.3版。根据技术分析,”清网卫士”、”广告过滤大师”和v5.3版”ADSafe”的功能、广告过滤规则,以及恶意代码都完全一样,可以认定,”清网卫士”和”广告过滤大师”软件其实就是”ADSafe”的最新版本,都会通过替换计费名(不同网站和上游分成的标识)的方式来劫持流量,牟取暴利。

    目前,”ADSafe”(v5.3及以上版本)和”清网卫士”等软件正在通过国内各大下载站、官网以及官方论坛大肆传播。用户电脑中只要装了上述软件,网站中(如 图2)产生的流量都会被劫持。 

    如上图所示,此次涉及到的受劫持网站数量是我们近年来发现最多的一次,共有50余家。不仅包括国内的导航站、电商(淘宝、京东、华为商城、小米商城、1药网等);还包括国内一些在线消费交易平台(新东方、悟空租车);国外的品牌购物站(Coach、Hanes、Clarins等)。

    另外,现在劫持规则还在持续更新,不排除将来可能用于其他攻击。例如火绒之前报道过的病毒利用JavaScript进行挖矿(ml)和窃取个人信息(wwml)的案例,建议广大用户注意防范。”火绒安全软件”最新版可以拦截”ADSafe”和”清网卫士”。

    近几年,互联网公司间的流量争夺赛愈演愈烈,并成为其主要收入来源。然而”流量”和”侵害用户”往往是相伴而生,这也是”火绒关停流量业务”的初衷。软件提供服务,用户购买服务/产品,才是健康的商业模式,而不是打着”免费”的旗子,背地里却把用户电脑当作”战场”,当成软件厂商的赚钱工具。归根结底,只有规范的服务、优质的产品,才是企业的制胜法宝,是企业长久发展的经营之道。

    二、病毒来源

    火绒近期在多个用户现场发现,名为清网卫士的广告过滤软件会恶意劫持流量。当用户访问搜索引擎、网址导航站、电商网站时,该软件会通过HTTP代理的方式将访问网址劫持为带有推广号的目标网址链接,恶意流量劫持涉及国内外众多线上消费平台及导航搜索站点,国内电商平台包括:淘宝、京东、苏宁等,国外线上消费平台则包括:Coach、Hanes、Nike等多个知名品牌。被劫持的网址列表,如下图所示:

    知名软件 净网大师(ADSafe)暗藏恶意代码,从众多网站劫持流量

    请点击此处输入图片描述

    被劫持网址

    随后,我们找到了清网卫士官网(hxxp://w/),如下图所示:

    知名软件 净网大师(ADSafe)暗藏恶意代码,从众多网站劫持流量

    请点击此处输入图片描述

    清网卫士官网

    值得一提的是,在我们查看清网卫士页面源码的时候,发现在被注释的网页代码中竟然出现了ADSafe(ADSafe)的官网微博地址和用户QQ群。如下图所示:

    知名软件 净网大师(ADSafe)暗藏恶意代码,从众多网站劫持流量

    请点击此处输入图片描述

    清网卫士网页源码

    被注释的清网卫士官方微博地址(https://e.weibo.com/3066343347),实际最终会跳转到ADSafe的官方微博,如下图所示:

    知名软件 净网大师(ADSafe)暗藏恶意代码,从众多网站劫持流量

    请点击此处输入图片描述

    清网卫士微博地址

    被注释的QQ群号实际为ADSafe用户群,如下图所示:

    知名软件 净网大师(ADSafe)暗藏恶意代码,从众多网站劫持流量

    请点击此处输入图片描述

    清网卫士QQ群

    除此之外,被注释的清网卫士微信公众号 "adoffjwds",公众号名称后半部分"jwds"为净网大师首字母。根据上述几点,我们可以初步推断,清网卫士可能和ADSafe存在着某种联系。

    在我们对ADSafe 5.3.117.9800版本(安装包来源为某下载站)进行分析后发现,该版本的ADSafe也具有相同的劫持行为。除此之外,该版本ADSafe和清网卫士的功能组件中大部分功能代码基本相同,甚至有部分用于流量劫持的数据文件SHA1也完全相同。以HTTP代理主模块为例进行代码比对,ADSafe.exe(ADSafe)和Adoff.exe(清网卫士)代码对比,如下图所示:

    知名软件 净网大师(ADSafe)暗藏恶意代码,从众多网站劫持流量

    请点击此处输入图片描述

    代码对比

    用于流量劫持的数据文件SHA1对比,如下图所示:

    知名软件 净网大师(ADSafe)暗藏恶意代码,从众多网站劫持流量

    请点击此处输入图片描述

    数据文件SHA1对比

    该版本ADSafe安装包数字签名有效,名称为"Shangha Technology Co. Ltd.",即上海大摩网络科技有限公司。如下图所示:

    知名软件 净网大师(ADSafe)暗藏恶意代码,从众多网站劫持流量

    请点击此处输入图片描述

    ADSafe 5.3.117.9800版本安装包文件属性

    知名软件 净网大师(ADSafe)暗藏恶意代码,从众多网站劫持流量

    请点击此处输入图片描述

    ADSafe签名信息

    综上,我们可以完全断定,清网卫士和ADSafe5.3.117.9800版本都属于同一个软件制作商,且带有相同的流量劫持逻辑。

    随后,我们也对ADSafe官网(hxxp://www.com/)版本进行了分析。 我们发现,官网下载的ADSafe安装包不会释放网络过滤驱动和劫持策略,由于官网版本安装后网络过滤框架不完整,所以不会进行恶意流量劫持。

    三、详细分析

    如上文所述,清网卫士与ADSafe5.3.117.9800版本劫持逻辑基本相同,所以我们下文中针对该版本ADSafe进行详细分析。病毒运行流程,如下图所示:

    知名软件 净网大师(ADSafe)暗藏恶意代码,从众多网站劫持流量

    请点击此处输入图片描述

    病毒运行流程

    如上图所示,由于ADSafe使用HTTP代理的方式进行劫持,所以一旦劫持规则生效,用户电脑中所产生的所有HTTP请求都会被ADSafe进行劫持,截至到我们发布报告之前,ADSafe劫持的网址多达54家,且受影响网址还在不断进行更新。

    网络过滤驱动

    当本地产生HTTP请求时,网络过滤驱动会将过滤到的HTTP请求转发给本地的HTTP代理(ADSafe.exe)。网络过滤驱动中的转发逻辑,如下图所示:

    知名软件 净网大师(ADSafe)暗藏恶意代码,从众多网站劫持流量

    请点击此处输入图片描述

    转发逻辑代码

    HTTP代理

    HTTP代理进程(ADSafe.exe)主要负责处理网络过滤驱动转发来的HTTP请求,根据不同的规则可以用于做广告过滤和流量劫持。ADSafe规则分为两个部分,分别在两个不同的目录下。规则目录位置及用途,如下图所示:

    知名软件 净网大师(ADSafe)暗藏恶意代码,从众多网站劫持流量

    请点击此处输入图片描述

    规则目录位置及用途

    如上图所示,用户订阅规则主要对应ADSafe中的自定义广告过滤规则,主要用于广告过滤、间谍软件过滤等;流量劫持规则中主要包括劫持策略和劫持内容,劫持生效后,可以将原有的HTTP请求替换为预先准备好的劫持内容,达到劫持目的。以访问https://www.jd.com为例,由于跳转过程较快,我们断网截取到了劫持链接(hxxps://p.yiqifa.com/c?w=***&t=https://www.jd.com/)。劫持效果,如下图所示:

    知名软件 净网大师(ADSafe)暗藏恶意代码,从众多网站劫持流量

    请点击此处输入图片描述

    流量劫持

    最终跳转页面,如下图所示:

    知名软件 净网大师(ADSafe)暗藏恶意代码,从众多网站劫持流量

    请点击此处输入图片描述

    最终劫持地址

    流量劫持策略不但会被5.3版本的ADSafe直接释放,还可以进行云控更新,就在我们分析的同时,劫持策略还在不断更新,所以下文所提到的劫持策略均以我们获取到的最后一个版本为准。

    ADSafe策略文件中数据均使用AES算法进行加密,加密后数据使用BASE64进行编码。由于所有策略文件解密流程完全相同,下文中不再进行赘述。相关解密逻辑,如下图所示:

    知名软件 净网大师(ADSafe)暗藏恶意代码,从众多网站劫持流量

    请点击此处输入图片描述

    解密逻辑相关代码

    策略更新功能主要对应ADSafe中的AdsCdn.dll模块,该模块主要负责策略的请求、下载和解密流程。劫持策略更新流程首先会访问C&C服务器地址请求策略配置数据CdnJsonconfig.dat。C&C服务器地址,如下图所示:

    知名软件 净网大师(ADSafe)暗藏恶意代码,从众多网站劫持流量

    C&C服务器地址

    请求CdnJsonconfig.dat数据相关代码,如下图所示:

    知名软件 净网大师(ADSafe)暗藏恶意代码,从众多网站劫持流量

    请点击此处输入图片描述

    请求CdnJsonconfig.dat数据代码

    该文件完成解密后,我们可以得到如下配置:

    知名软件 净网大师(ADSafe)暗藏恶意代码,从众多网站劫持流量

    CdnJsonconfig.dat解密后数据

    如上图所示,其中"0002020A"属性中存放的是策略更新配置文件下载地址(hfilesuploadml?-70969872),通过HTTP请求我们可以得到如下配置:

    知名软件 净网大师(ADSafe)暗藏恶意代码,从众多网站劫持流量

    请点击此处输入图片描述

    相关文章

      网友评论

      • zcwfeng:是不是所有的保护软件之下都可能藏着不可告人的秘密??

      本文标题:花无涯:净网大师ADSafe 暗藏恶意代码 劫持流量

      本文链接:https://www.haomeiwen.com/subject/xkcxcftx.html