1
本文作者: 又田 | 2017-11-03 16:46 |
還記得剛進(jìn)大學(xué)校園時(shí)向你熱情推銷手機(jī)卡的學(xué)姐學(xué)長(zhǎng)們嗎?
“學(xué)妹,辦卡嗎?移動(dòng)的,一次性充500話費(fèi)送手機(jī),還提供寬帶呢?!?/p>
“學(xué)弟,你看看這個(gè)套餐,包月58,3G流量隨便刷,還有300分鐘全國(guó)通話?!?br/>
……
為了拉攏新生用自家的手機(jī)卡,各大通訊公司打出種種優(yōu)惠活動(dòng),其中就包括提供包年寬帶服務(wù)。學(xué)生只要下載某個(gè)移動(dòng)通訊客戶端輸入自己的手機(jī)號(hào)及密碼就可以登陸上網(wǎng)。
而最近,多個(gè)安全實(shí)驗(yàn)室監(jiān)測(cè)發(fā)現(xiàn),中國(guó)電信校園門戶網(wǎng)站【zsteduapp.10000.gd.cn】提供下載的“天翼校園客戶端”攜帶后門病毒“Backdoor/Modloader”,該病毒可隨時(shí)接收遠(yuǎn)程指令,利用被感染電腦刷廣告流量和 “挖礦”(生產(chǎn)“門羅幣”),讓這些校園用戶的電腦淪為他們牟取利益的“肉雞”。
▲帶毒客戶端的數(shù)字簽名
電腦變慢竟是因?yàn)椤?/strong>
據(jù)雷鋒網(wǎng)了解,“天翼校園客戶端”安裝包運(yùn)行后,后門病毒即被植入電腦。該病毒會(huì)訪問(wèn)遠(yuǎn)程C&C服務(wù)器存放的廣告配置文件,然后構(gòu)造隱藏IE瀏覽器窗口執(zhí)行暗刷流量,同時(shí)也會(huì)釋放門羅幣挖礦者病毒進(jìn)行挖礦。
▲天翼校園客戶端后門病毒的工作流程
天翼校園客戶端安裝后,安裝目錄中會(huì)釋放speedtest.dll文件,speedtest.dll扮演病毒“母體”角色。執(zhí)行下載、釋放其他病毒模塊,最終完成刷廣告流量和實(shí)現(xiàn)挖礦。
▲病毒母體文件“speedtest.dll”的功能
解密后的廣告刷量模塊被執(zhí)行后,它會(huì)創(chuàng)建一個(gè)隱藏的IE窗口,讀取云端指令,后臺(tái)模擬用戶操作鼠標(biāo)、鍵盤點(diǎn)擊廣告,同時(shí)“屏蔽”聲卡播放廣告頁(yè)面中的聲音,防止刷廣告流量時(shí)用戶只聞其聲不見(jiàn)其形而感到奇怪。
而通過(guò)監(jiān)測(cè)發(fā)現(xiàn),該病毒下載的廣告鏈接約400余個(gè),由于廣告頁(yè)面被病毒隱藏,并沒(méi)有在用戶電腦端展示出來(lái),廣告主白白增加了流量成本。受該病毒點(diǎn)擊欺詐影響的廣告主不乏騰訊、百度、搜狗、淘寶、IT168、風(fēng)行網(wǎng)等等。
除了在各個(gè)廣告主爸爸身上刷波廣告流量,工程師們通過(guò)分析病毒的挖礦模塊,發(fā)現(xiàn)天翼校園客戶端挖的是“門羅幣”。
門羅幣,是一種模仿“比特幣”出現(xiàn)的數(shù)字虛擬幣,利用電腦硬件資源挖虛擬幣一般被稱為“挖礦”。目前,一枚比特幣的價(jià)格已達(dá)4萬(wàn)元人民幣,一枚門羅幣的價(jià)格接近500元。
當(dāng)病毒開(kāi)始“挖礦”時(shí),用戶能觀察到計(jì)算機(jī)CPU資源占用飆升,電腦性能變差,發(fā)熱量上升。電腦風(fēng)扇此時(shí)會(huì)高速運(yùn)行,電腦噪音也會(huì)隨之增加。
▲病毒開(kāi)始挖礦時(shí),計(jì)算機(jī)CPU幾乎滿載
所以如果有童靴發(fā)現(xiàn)自己的電腦噪聲增大,持續(xù)發(fā)熱,頻頻卡頓,不一定是該換電腦了,還可能中了病毒。
而通過(guò)對(duì)病毒進(jìn)行溯源分析,金山毒霸安全實(shí)驗(yàn)室還發(fā)現(xiàn)帶有該后門病毒的安裝包并不只有“天翼校園客戶端”,“網(wǎng)際快車”、“一字節(jié)恢復(fù)”,以及中國(guó)電信的一款農(nóng)歷日歷(Chinese Calendar)等軟件也都攜帶同樣的病毒代碼。
▲日歷程序的數(shù)字簽名
關(guān)于病毒如何植入的諸多猜測(cè)
一個(gè)省的電信運(yùn)營(yíng)竟然與挖礦黑產(chǎn)掛上了,究竟病毒是如何被植入的?
獵豹移動(dòng)安全專家對(duì)于江蘇電信天翼校園被植入病毒的事件,有兩種猜測(cè):
第一是內(nèi)部工作人員可能違規(guī),私自參與病毒黑色產(chǎn)業(yè);
第二是內(nèi)部生產(chǎn)環(huán)境可能已遭黑客入侵,潛在的風(fēng)險(xiǎn)巨大。黑客可以控制一個(gè)省的電信用戶去挖礦,黑客也可以控制如此巨大規(guī)模的終端用戶電腦去實(shí)現(xiàn)其他目的,比如“發(fā)布違法信息內(nèi)容”,或利用肉雞電腦發(fā)起網(wǎng)絡(luò)攻擊。
有微博網(wǎng)友爆料,天翼校園客戶端可能是外包管理不嚴(yán),有被合作方坑的可能性。
雖然目前尚未查清中國(guó)電信江蘇分公司的官方程序是如何被植入病毒的,但對(duì)于普遍認(rèn)為大型互聯(lián)網(wǎng)公司簽名程序是安全的安全廠商們,這波臉打的有點(diǎn)疼。
而據(jù)雷鋒網(wǎng)得到的最新消息,獵豹移動(dòng)已在三省監(jiān)測(cè)到天翼校園客戶端淪陷,分別是江蘇、廣東、湖南。其他地方也有個(gè)例,但基本可以忽略。
而火絨安全團(tuán)隊(duì)也通過(guò)技術(shù)溯源發(fā)現(xiàn),早在2015年12月,該病毒就已被病毒團(tuán)伙植入到天翼客戶端。通過(guò)排查發(fā)現(xiàn),包括廣東省肇慶市、中山市、珠海市、茂名市等21個(gè)市、208家高校均可能受到該病毒影響,下圖為所有安裝了該客戶端的學(xué)校名單:
不過(guò),不管是中招還是未中招的童靴,雷鋒網(wǎng)編輯建議刪除“天翼校園客戶端”安裝目錄中的speedtest.dll文件,及時(shí)查殺病毒。還不放心的童靴,可以換個(gè)寬帶來(lái)用了。
“挖礦”?最近太多了
實(shí)際上,最近“挖礦”的事兒有點(diǎn)多。
不久前百度網(wǎng)址安全中心的同學(xué)監(jiān)測(cè)發(fā)現(xiàn)一些網(wǎng)站頁(yè)面中被植入了惡意腳本,打開(kāi)后會(huì)占用大量CPU資源。經(jīng)過(guò)分析發(fā)現(xiàn)網(wǎng)站中被植入的腳本是在線挖礦腳本,通過(guò)瀏覽器訪問(wèn)這些站點(diǎn)時(shí)挖礦腳本便會(huì)在后臺(tái)執(zhí)行占用大量CPU,電腦因此會(huì)變慢或卡頓。
植入到頁(yè)面中的挖礦腳本都是源自網(wǎng)站Coinhive(https://coinhive.com/),其提供了可植入到網(wǎng)站頁(yè)面中的門羅幣挖礦JavaScript API,只需植入到網(wǎng)站頁(yè)面中用戶訪問(wèn)時(shí)便可實(shí)現(xiàn)門羅幣挖礦。
瀏覽器打開(kāi)此頁(yè)面后電腦明顯變慢,查看電腦任務(wù)管理發(fā)現(xiàn)CPU使用率立即大幅上升,閑置不到36%。關(guān)閉頁(yè)面后CPU利用率立即下降,閑置超過(guò)97%,被占用的大量CPU正是被用來(lái)挖礦。
網(wǎng)站黑客入侵篡改是常見(jiàn)的安全問(wèn)題,但現(xiàn)在入侵網(wǎng)站篡改的內(nèi)容已經(jīng)擴(kuò)散到挖礦惡意代碼。2017年10月以來(lái)檢出的挖礦站點(diǎn)數(shù)量呈現(xiàn)上漲趨勢(shì),越來(lái)越多的站點(diǎn)被發(fā)現(xiàn)植入了挖礦腳本,因?yàn)楸缓诙粍?dòng)參與挖礦的站點(diǎn)也在增多,國(guó)內(nèi)網(wǎng)頁(yè)挖坑的市場(chǎng)規(guī)模十分龐大。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。