喜欢在网上下载电影的人想必对“torrent”并不陌生。torrent文件本质上是文本文件,包含追踪器信息和文件信息两部分。追踪器信息主要是bt下载中需要用到的追踪器服务器地址和针对追踪器服务器的设置,文件信息是根据对目标文件的计算而生成,计算结果根据bittorrent协议内的b编码规则进行编码。所以,torrent文件也可以说是被下载文件的“索引”。
而最近,研究人员发现通过海盗湾(thepiratebay)torrent追踪器发布的电影会触发电脑上一连串的恶作剧活动,如将攻击者想展示的内容注入维基百科、谷歌和yandex搜索等知名度很高的网站,或者进行窃取加密货币。
虽然说海盗湾上存在恶意软件已经不是什么新鲜事儿了,但这回其使用感染受害者电脑的方法和其所所为还是可以聊一聊。
这可不是影迷要的娱乐
研究人员0xffff0800在tpb上有电影《蜘蛛网中的女孩》的下载文件时,发现了一个执行“powershell”命令的“.lnk”快捷方式。在virustotal杀毒扫描服务上运行后,返回结果是cozybear的样本。该样本是高级威胁者(apt29,cozyduke,cozycar,grizzlybear)所用的恶意软件,该组织于2015年被发现,专门针对windows平台且依然保持活跃。
该组织所用的其中一个感染方法便是一个武器化的“.lnk”文件、运行powershell命令、从文件快捷方式中提取脚本。不过cozybear的检测结果是错的。
火眼高级实践小组成员nickcarr表示,盗版内容中出现武器化“.lnk”文件也很正常。他还指出这种行为是在2017年4月开始散播开来,当时一个名为felix的it工程师博客里详细解释了捕获快捷文件、放置有效负载的方法,该方法在2013年时是用来攻击的,但2017年开始该手法采用数量开始激增,trendmicro还在当年5月份的报告中进行过披露。
web注入毒谷歌、yandex搜索结果
0xffff0800共享了其所发现的恶意“.lnk”样本结果。研究发现,这个“套路”可要深得多:一个看上去是谷歌主搜索页面上的一个广告注入,结果却只是冰山一角。
恶意活动延伸到了包括谷歌和yandex搜索结果以及维基百科条目在内的其他网页页面,目的是监控比特币和以太坊钱包地址的网页并将其替换为攻击者的页面。对启用微软防病毒功能的电脑,恶意软件会修改注册表项、禁用windows防火墙保护,还会在firefox上强行安装一个名为“firefoxprotection”的扩展,并用”
pkedcjkdefgpdelpbcmbmeomcjbeemfm”这个id名对“chromemediarouter”扩展进行劫持。
启动浏览器后,恶意软件扩展便立即连接到firebase数据库,并引入javascript代码和各种设置,插入多个网页。
谷歌搜索结果页面上,恶意软件将攻击者强推的搜索结果注入为首个搜索结果。比如:运行“间谍软件”查询时,前两条结果指向了一种名为“totalav”的安全解决方案。
上图中的第一条链接导向了一家杀毒对比网站,相较于知名产品,该网站将“totalav”设定为其推荐产品。
可以看到下图的脚本代码,这是在谷歌和yandex搜索引擎上进行特定查询时更改搜索结果的模板。
这个网页页面注入也会出现在其他网站和查询中,扩展还包括多种服务代码(torrent追踪器或加密货币)等,这些代码被添加到俄罗斯社交网络“vkontakte”中,如下图所示。
上述服务提议中至少一个是为分发其他可执行文件的torrent站点所用,如yandex搜索工具栏。
维基百科捐款诈骗
如受害者访问维基百科,恶意软件注入机制会插入一个假冒捐款栏,声明维基百科接收加密货币捐款,还附带两个捐款地址。
onewallet是为比特币捐款所准备,价值70美元的加密货币;
另一个是为以太坊准备,余额eth4.6,折合600美元。
第三种比特币钱包地址是在下载的恶意软件脚本中发现的,余额13美元,而这还不在危机百科捐款页面上。
窃取加密货币
上述三种钱包只是恶意任务中的一部分而已,是用来代替页面上的钱包。这种技巧在用户中招时没有任何提醒和征兆。由于这些钱包是一长串随机字母,大多数用户也不会注意到其中的区别。
命令“不太行”
执行时,假电影文件会启动一个powershell命令,运行一系列其他命令,最终将负载下载到%appdata%文件夹中。你可以看到如下的恶意快捷属性中含powershell命令。
该快捷方式的powershell连接到一个c2服务器中,之后重定向到回收站地址,该地址含进一步执行powershell的命令。该活动也已经在0xffff0800的推文中描述过:
上述命令进行了混淆,但会连接到http://klis.icu/1这个地址,之后再重定向到
https://pastebin.com/raw/gbdcvb9u;
进一步请求连接到http://klis.icu/3上,之后再到http://klis.icu/2站点上,所有这些都进行了重定向,执行之后的powershell命令。
两个隐藏的可执行文件放到了c:\programfiles(x86)\smartdata\文件中。尽管名称不同(‘servicer.exe’and‘performer.exe’),但其实没区别。
在此次分析中,研究人员还发现其试图添加’servicer.exe’进行”智能监控”服务,但代码没写对。
本应用下图中的代码:
sccreate“smartmonitoring”binpath=“c:\programfiles(x86)\smartdata\servicer.exe/srv”start=autodisplayname=“smartmonitoring”
他们却用了这个不带空格的:
sccreate“smartmonitoring”binpath=”c:\programfiles(x86)\smartdata\servicer.exe/srv”start=autodisplayname=”smartmonitoring”
尽管这也没能阻止恶意扩展的安装,但却没能合理安装服务。
最后要谨记的是,从torrent追踪器上下电影带给你的可不只是几个小时的娱乐,而是恶意软件更长时间的“陪伴”。
