黑客溯源:“领跑吧”广告木马追踪

      黑客溯源:“领跑吧”广告木马追踪无评论

  0×00 概要

  近期安天追影团队通过追影监控平台发现黑客以各种手段传播广告获利木马,受害主机感染木马后,会自动访问“领跑网吧广告传媒(域名为lingpao8.com)”的计费广告链接,该公司的业务是广告传媒、浏览首页、开机广告等,领跑按照推广流量分给下家收益,其中一个广告样本还具有Rootkit隐藏功能。通过追踪发现放马服务器和域名注册地都在山东。

黑客溯源:“领跑吧”广告木马追踪

  0×01 样本分析

  一、广告母体释放nvsvc.exe的分析

  MD5:b07f778a215e2c88a9c2b5ea26a178bb

  其主要功能是创建互斥量、请求广告计费,下载广告安装包,设置IE主页等。

  1.创建互斥量 GlobalLPSYNCG

  2.向领跑吧发送计费统计ID

黑客溯源:“领跑吧”广告木马追踪

  与目的IP进行HTTP通信,发送GET信息。从通信内容可以得知,是向带UID = 00000000_0002BA29的URL发起请求。该UID为目的领跑客户端推荐人的UID。该通信行为是告诉lpvoidray.lingpao8.com这台机器是UID为00000000_0002BA29的用户,其访问的流量计入其UID名下。

黑客溯源:“领跑吧”广告木马追踪

  目的IP收到首包后,回复一个HTTP包,如下图所示。先回复200 OK,表示请求成功。后又跟着以文本为单位的数据,其中含有一个下载地址DownloadUrl = http://p1.lingpao8.com/Phoenix/20150915.zip,为领跑客户端的组件下载地址。

黑客溯源:“领跑吧”广告木马追踪

  设置IE的首页“http://1.sogoulp.com/index16778739_1.html”,即为图4.2.2中设置“搜狗浏览器”为主页的付费广告链接,该链接被有效访每1000次,该链接的所有者会得到20元的收益

黑客溯源:“领跑吧”广告木马追踪

  二、广告母体释放

  ‍‍MD5:692809fc6cd80e11e86a88f27ffe1a9f

  ‍‍其主要功能是创建HideSys.sys并写入相应的PE信息,然后创建相应的服务EProcess、如下图所示:

黑客溯源:“领跑吧”广告木马追踪

  使用Atool或者Xutr等工具均可查看到隐藏的广告木马进程。

黑客溯源:“领跑吧”广告木马追踪

  0×02 网络架构

  最早可以追溯到2014年6月,放马站主要的IP地址如下:

  221.215.123.*60.209.124.*221.215.160.*119.167.*.*124.129.3.*124.129.149.*放马服务器所在山东近期活跃记录。

黑客溯源:“领跑吧”广告木马追踪

  uup.chao*.net域名注册地址

  邮箱:li***@126.com

  注册时间:2014-03-03

  过期时间:2016-03-03

  所有者位置:山东省青岛市城阳区正阳路491号

  0×03 总结

  广告类木马以利益为趋势,随着广告联盟推波助澜,不断变更技术,增强对抗能力,包括利用最新公布的漏洞进行传播,利用Rootkit技术隐藏自身,广告类木马一个典型特征是获利资金链条相对清晰,可以利用计费ID去追踪受益者。

  *作者:安天追影团队,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

发表评论