【技术分享】360天眼实验室:揭密小黑系列——SSL劫持木马的追踪溯源

http://p6.qhimg.com/t018c4cd2df206f5073.jpg

引子

人在做,天在看!

为了应对网络劫持,各大网站都开始启用https协议,使得靠劫持http网站闷声发大财的灰产、黑产们坐不住了,一直在寻找劫持https网站的好用方法。日常工作当中,360互联网安全中心发现了能够劫持https网站的恶意软件样本,该类样本不仅仅将常用的一些网站劫持到特定的网址导航站,还会与安全软件进行对抗。


分析

在中恶意软件的机器中,我们发现了二个可疑文件。一个名为“bbgeccv6”的驱动文件和一个名为“yyqg.dll”的动态库文件。

文件HASH值如下:

MD5: 62B58CF5BC11B7FC8978088953A7C6FD_ bbgeccv6
MD5: 2F2963BC8B9D0E1CC14601D61222EC77_ yyqg.dll

其中,“bbgeccv6”(文件名随机,HASH不变)负责启动、自我保护等工作,“yyqg.dll”负责注入winlogon.exe、下发控制指令给“bbgeccv6”。

http://p2.qhimg.com/t016ee2426941624ca9.png

http://p8.qhimg.com/t015f179eb2950a7737.png

通过360互联网安全中心的安全大数据,对这二个样本进关联分析,我们找到了原始样本——“快赞助手–QQ名片赞空间人气”,并通过官网下载了其最新版本。

http://p7.qhimg.com/t0118bbc63ace5912b1.png

http://p0.qhimg.com/t0157a70477300766a8.png

“快赞助手刷QQ名片赞空间人气v2.5.0.exe”使用易语言编写,带有UPX壳。程序在运行起来之后,会向%windir%目录下释放并加载 “bbgeccv6”的随机文件名驱动文件和 “yyqg.dll”的动态库文件。

其中”yyqg.dll”使用了”BlackBone”的开源代码,该动态库被加载后会注入winlogon.exe。

http://p4.qhimg.com/t0168016c11f0e6cdcc.png

”yyqg.dll”会向”dns.5**7.me”请求TXT记录,返回最新云控服务器信息。

http://p6.qhimg.com/t01956dbf44859ba0ec.png

通过事先协商好的方法与请求回来的云控服务器拼接出链接,我们发现了该域名下的hijack列表——明文、正则表达式。

https://p3.ssl.qhimg.com/t01e864e02f28aaaac2.png

打开浏览器,随便选择一条能匹配正则表达式的例子,比如hao.360.cn进行测试,最终会跳转到http://www.hao774.com/?38133这个域名,而hao774.com这个域名刚最终跳转到2345网址导航站。

http://p3.qhimg.com/t013fe01e660319312a.png

该劫持列表名单,基本上主流的网址导航站、购物网站均被覆盖了。

http://p6.qhimg.com/t01284ecff4ec836170.png

为了避免陷入死循环,在样本中我们还看到了white名单,符合该名单列表的则不进行劫持跳转,如下图所示。

http://p8.qhimg.com/t014797e1f0c1f4a639.png

而“bbgeccv6”的随机文件名驱动文件,使用了比较成熟稳定的收费源码SDK进行开发。由于该SDK的API及DEMO在网上有公开,就不作深入的详细分析,感兴趣的可以自行分析查找该SDK。从互联网上搜到的公开信息来看,利用该套成熟源码方案的恶意软件,从2014年就已经开始出现了,大概2016年开始在中国进行推广,而且有不同编码风格的样本出现,应该已经在地下黑产圈子里面流传了一阵子。


溯源

一般样本分析都是开味小菜,通过对样本分析进行追溯,关联到具体的人员才是本篇文章的重头大戏。

首先,我们知道该样本的上线服务器域名为“dns.54***.me”,可以查得如下WHOIS信息,如下图所示。

http://p7.qhimg.com/t01ebf0df2e39bd277a.png

通过支付宝可以查到“774***09@qq.com”如下信息,点击验证姓名,输入“冯”,正好可以和注册人的拼音对上,且使用注册人电话17190***70同样能找到该支付宝账号。

http://p1.qhimg.com/t0158c0348f2a663140.png

QQ信息显示如下:

http://p0.qhimg.com/t01ad7929201335f344.png

通过搜索引擎查找QQ号,我们找到了如下关联:

http://p0.qhimg.com/t016b9941fe8966a787.png

通过360威胁情报中心查询,可以发现pay.1****.la与www.4****.la曾经在同一个221.***.***.155的IP上面解析过,如下图所示。

http://p8.qhimg.com/t0137e3c31df398939f.png

然而pay.11***.la与www.4****.la这二个网站的WHOIS并不能给我们提供太多可用信息,溯源似乎又陷入了僵局。

回到最初的“dns.5****.me”域名,该域名存在“h.5****.me”子域名,曾解析到123.***.***.139这个IP上,而且该IP上还存在“h.q***.cc”这个为更新劫持名单(hijack)及白名单(white)而准备的域名,以及存在一个“hao.xi***z.com”的域名。如下图所示。

http://p0.qhimg.com/t0115c70460d05b0000.png

其中,“h.q***.cc”和“hao.xi***z.com”这二个域名的WHOIS信息显示,注册人邮箱均为“d******@qq.com”。

http://p6.qhimg.com/t0148c4daa8b7125a78.png

“hao.xixi****.com”曾在 “139.***.***.170”和“58.***.***.51”这二个IP上解析过,与此同时,“2k***.com”也在上述二个IP上解析过。

http://p9.qhimg.com/t015964e1d0761fb20f.png

http://p2.qhimg.com/t01d7913aeacd180205.png

尤其是58.***.***.51这个IP上,有众多域名交叉的出现,使得我们的溯源一下子就是豁然开朗了。通过360威胁情报中心高级可视化分析,可以看到如下的关系图。

http://p6.qhimg.com/t0151c00592b758b376.png

通过查看该关联图,du****.com也能与du****@qq.com关联上了。而du****.com的WHOIS信息显示注册人邮箱为751*******@qq.com。

http://p0.qhimg.com/t0127227812d7d82ed7.png

通过搜索引擎,可以查到QQ751****2的一些历史发贴,比如这个ID为“xix**z”的,收购网络代理,这与“hao.xix**z.com”的域名也是能够对应上的。

http://p1.qhimg.com/t01be6543a3b2dc44db.png

而在另外一个早期的贴子中,我们则看到了该作者早期公布的某游戏外挂源码模块。该论坛注册的ID为6456332,如下图所示。

http://p2.qhimg.com/t015120558029717918.png

http://p2.qhimg.com/t01e205254f4a15271d.png

18****.com的WHOIS信息显示注册人邮箱为7518********2@qq.com,我们猜测645******为其QQ大号,7518********2为其QQ小号。使用QQ645******作为关键词,我们找到广海社区论坛,在其个人信息处可以看到关联的信息,如下图所示。

https://p3.ssl.qhimg.com/t0170086811eafaad64.png

通过751*******2@qq.com可以查到其支付宝信息,根据WHOIS信息中的注册人姓氏,随手猜了“王”姓,居然一击即中,看来这个团伙搞黑产一点都不专业啊。

https://p0.ssl.qhimg.com/t01eef2218bda3ea956.png

https://p1.ssl.qhimg.com/t01554e90cfc24e41c5.png

从易语言论坛来看,作者从2010年就开始学习易语言,并成为了易语言的正版用户,同时长期活跃在易语言论坛、精易论坛、广海社区、千明论坛等与易语言、外挂相关的论坛中。

https://p5.ssl.qhimg.com/t01766911d1e929d96e.png

求购QQ群蠕虫类恶意软件源码。

https://p1.ssl.qhimg.com/t0131d305f8cf1c6cc5.png

早些年在千脑云电脑上提供下载的各类外挂辅助软件。

https://p4.ssl.qhimg.com/t010e6b7a483fdc3c49.png

基本上到这儿,这个黑产团伙的组织架构已经比较清晰了,该团伙从2011年开始就研发各类外挂辅助类工具,至今没有停手,且使用的手段也越来越恶劣了。

整个追踪溯源就此告一段落,后续的活留给感兴趣的人员去做吧。

最后,以“人在做,天在看”收尾!

(完)