當(dāng)前位置：首頁(yè) > 前端技术 > HTML >内容正文

HTML

偷天换日——新型浏览器劫持木马“暗影鼠”分析

發(fā)布時(shí)間：2025/7/25 HTML 65 豆豆

生活随笔收集整理的這篇文章主要介紹了偷天换日——新型浏览器劫持木马“暗影鼠”分析小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

騰訊電腦管家 · 2016/05/31 12:06

0x00 背景

近日哈勃分析系統(tǒng)截獲了一批新型瀏覽器劫持木馬 “暗影鼠”，該木馬通常被打包在壓縮包內(nèi)偽裝視頻播放器通過(guò)網(wǎng)頁(yè)進(jìn)行傳播。該木馬的主要功能是對(duì)瀏覽器訪問(wèn)導(dǎo)航頁(yè)的流量進(jìn)行劫持，重定向到自己的推廣頁(yè)，非法獲取推廣利潤(rùn)。該木馬最早出現(xiàn)是在今年的4月末，5月初開(kāi)始小范圍傳播，但是從5月23開(kāi)始突然爆發(fā)，高峰期全網(wǎng)中此木馬用戶數(shù)超過(guò)30W每日，保守估計(jì)近期木馬作者以此獲利總額有近百萬(wàn)元人民幣。

傳播趨勢(shì)

0x02 木馬介紹

“暗影鼠”啟動(dòng)后首先釋放大批子文件，如下圖所示

釋放文件列表圖

主要子文件功能：

cBLK.dll 木馬核心功能模塊，注入瀏覽器進(jìn)程，流量劫持
newts.exe 64位系統(tǒng)下kill瀏覽器進(jìn)程
undoing.exe 獲取木馬作者后臺(tái)的推廣列表
run.bat 清空瀏覽器緩存和臨時(shí)文件
clk.ini 木馬使用的配置文件

“暗影鼠”核心作惡流程

該木馬在釋放了一批子文件之后，枚舉當(dāng)前系統(tǒng)中的進(jìn)程，與設(shè)定好的國(guó)內(nèi)主流瀏覽器進(jìn)程名進(jìn)行對(duì)比，如果發(fā)現(xiàn)這些瀏覽器進(jìn)程的存活，則殺掉相應(yīng)進(jìn)程，并且生成一個(gè)相應(yīng)被感染的瀏覽器主進(jìn)程的可執(zhí)行文件。然后拉起這個(gè)被感染的假瀏覽器進(jìn)程，假瀏覽器進(jìn)程會(huì)加載之前釋放的核心功能dll，然后再dll中hook關(guān)鍵系統(tǒng)函數(shù)，進(jìn)行流量劫持。

0x02 主要功能模塊技術(shù)分析

1.遍歷進(jìn)程殺瀏覽器進(jìn)程

進(jìn)程名比較代碼段

枚舉進(jìn)程，尋找國(guó)內(nèi)主流瀏覽器進(jìn)程名。在此本文以chrome瀏覽器為例，對(duì)木馬母體的TerminateProcess函數(shù)下斷點(diǎn)，查看第一個(gè)參數(shù)。

結(jié)束chrome進(jìn)程

查看句柄的含義

procxp中查看句柄含義

句柄對(duì)應(yīng)的就是chrome進(jìn)程

任務(wù)管理器中查看chrome的進(jìn)程ID

可見(jiàn)木馬母體中去殺的進(jìn)程就是chrome.exe。

2.“貍貓換太子”假瀏覽器出場(chǎng)

殺掉真的chrome之后，木馬母體在chrome.exe的同級(jí)目錄下創(chuàng)建了下邊兩個(gè)文件。

釋放被感染的chrome

上圖中的exe就是一個(gè)被感染的chrome，會(huì)在啟動(dòng)時(shí)加載cBLK.dll，然后執(zhí)行其內(nèi)部包含的真正的chrome.exe。

假的chrome啟動(dòng)后，我們用spy++查看當(dāng)前的瀏覽器窗口歸屬

spy++查看窗口的進(jìn)程歸屬

假chrome進(jìn)程樹(shù)

0:000> ?9d4 Evaluate expression: 2516 = 000009d4 復(fù)制代碼

0x9d4轉(zhuǎn)成10進(jìn)制就是2516

可以看到現(xiàn)在使用的chrome就是被感染的chrome。

3.cBLK目的何在

調(diào)試器附加假chrome

由上圖可知假chrome加載了cBLK.dll，這個(gè)dll的主要功能就是hook系統(tǒng)關(guān)鍵函數(shù)。

主要Hook點(diǎn)

hook LoadLibraryExw

阻止加載列表

這個(gè)hook點(diǎn)的主要目的就是防止安全軟件的瀏覽器安全模塊加載。

hook WSASend發(fā)現(xiàn)對(duì)導(dǎo)航頁(yè)的訪問(wèn)時(shí)

監(jiān)控的導(dǎo)航頁(yè)列表

構(gòu)造302頁(yè)面

發(fā)現(xiàn)對(duì)上述導(dǎo)航頁(yè)的訪問(wèn)，則構(gòu)造相應(yīng)的302跳轉(zhuǎn)頁(yè)面。

hook WSARecv將對(duì)應(yīng)的302頁(yè)面返回，達(dá)到劫持目的

返回302頁(yè)面

上圖中的代碼是在cBLK的WSARecv的hook函數(shù)中找到的，后邊會(huì)調(diào)用真正的WSARecv，使得瀏覽器誤以為接收到了302跳轉(zhuǎn)頁(yè)面，達(dá)到劫持目的。

4.其他技術(shù)點(diǎn)

啟動(dòng)被感染的瀏覽器進(jìn)程，該樣本還使用了監(jiān)控瀏覽器桌面快捷方式點(diǎn)擊的方法，非主要技術(shù)點(diǎn)在此不展開(kāi)介紹。該樣本也hook其他模塊加載和網(wǎng)絡(luò)發(fā)送接收函數(shù)，道理和上邊說(shuō)的一致，也不重復(fù)了。

哈勃分析系統(tǒng)目前對(duì)此樣本的已經(jīng)查殺。

總結(jié)

以上是生活随笔為你收集整理的偷天换日——新型浏览器劫持木马“暗影鼠”分析的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇：影响数千万APP的安卓APP“寄生兽”漏
下一篇：物联网和前端技术，两者相辅相成并且互相促