web安全之暗藏在常用工具軟件中的后門有哪些

這篇文章將為大家詳細(xì)講解有關(guān)web安全之暗藏在常用工具軟件中的后門有哪些，小編覺得挺實用的，因此分享給大家做個參考，希望大家閱讀完這篇文章后可以有所收獲。

        百度安全實驗室發(fā)現(xiàn)多款偽裝成“解壓工具”、“文檔閱讀器”等常用軟件，實則背后悄悄進(jìn)行遠(yuǎn)程代碼執(zhí)行和刷流量牟取暴利等行為的惡意軟件。通過對這些偽裝軟件的技術(shù)分析，發(fā)現(xiàn)它們都源自重慶同一公司所為，惡意代碼作者通過注冊多個數(shù)字簽名實現(xiàn)繞過安全軟件的檢測,使用相同的框架開發(fā)多款網(wǎng)民常用的小工具，并利用大量下載站和界面簡單的“官方網(wǎng)站”進(jìn)行傳播。其中一款名為“極客壓縮”解壓軟件，在騰訊軟件管理中下載次數(shù)就高達(dá)308萬次。

        當(dāng)用戶安裝這些軟件后，會靜默通過遠(yuǎn)程服務(wù)器下發(fā)惡意模塊和Lua腳本并執(zhí)行，Lua腳本在執(zhí)行過程會跳過“北京”、“上?！?、“廣州”、“深圳”、“珠海”五大城市，以逃避主流安全廠商的捕獲和分析。Lua腳本機具備下載任意程序并靜默執(zhí)行、結(jié)束進(jìn)程、修改任意注冊表、向連接的手機安裝APK、修改主頁、本地提權(quán)等121個功能API，功能強大令人震驚。值得警惕的是，Lua腳本可隨時被升級更新，不排除有幕后黑手利用這功能強大的后門執(zhí)行隱私竊取等其他惡意行為，存在極高的安全隱患。

        以下以其中一款名為“優(yōu)選PDF閱讀器”的軟件為例進(jìn)行分析：

一、行為分析

        軟件安裝并啟動后會調(diào)用安裝目錄的“YouPdfUpdate.exe”進(jìn)程，傳入?yún)?shù)youp，并從網(wǎng)絡(luò)獲取動態(tài)鏈接庫，保存到程序當(dāng)前路徑下，命名為update.yyp。

        該文件經(jīng)過加密，解密后的動態(tài)鏈接庫包含兩個導(dǎo)出函數(shù)：

        該模塊主要實現(xiàn)創(chuàng)建Lua虛擬機并執(zhí)行傳入的Lua腳本，模塊中實現(xiàn)了以下Lua API。

        以上API能夠?qū)崿F(xiàn)自啟動、修改UAC策略、安裝APK、下載并執(zhí)行文件、執(zhí)行腳本、進(jìn)程控制、從網(wǎng)絡(luò)獲取任意文件等操作。

        該模塊中實現(xiàn)了利用事件查看器漏洞繞過UAC防御，主要通過修改注冊表“HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command”的方式實現(xiàn)。

        程序在運行時，執(zhí)行了Lua中的ExecNetScipt功能，即請求從“http://config.younoteba.top/src/youpdfu.html”下載并執(zhí)行Lua腳本。解密后的腳本執(zhí)行了發(fā)送機器信息到作者服務(wù)器、設(shè)置進(jìn)程自身退出時間等一系列初始化操作，然后下載XML配置文件并根據(jù)獲取到的配置完成修改主頁、過濾進(jìn)程、軟件推廣安裝等操作。

解密后的XML配置文件：

捕獲的Lua腳本中的主要函數(shù)如下：

1、 DoBiz

        該函數(shù)主要完成檢測引擎版本、判斷配置文件是否可寫、判斷是否用戶管家下載、判斷用戶點擊了意見反饋、下載配置、執(zhí)行迷你頁、過濾進(jìn)程及地區(qū)、執(zhí)行富媒體等。

2、 InstallCpa

        該函數(shù)主要完成推廣軟件的安裝條件檢測、軟件下載以及安裝等相關(guān)行為。

3、SetHomepage

        該函數(shù)通過修改注冊表達(dá)到篡改瀏覽器主頁的目的。

二、同源性分析

        通過對“優(yōu)選PDF閱讀器”的關(guān)聯(lián)分析，發(fā)現(xiàn)其關(guān)聯(lián)多個域名，涉及多款軟件，但行為基本類似。

1、 相似的安裝界面

以下為優(yōu)選PDF閱讀器的安裝界面。

以下為關(guān)聯(lián)到的迅捷便簽的安裝界面

2、 相似的官網(wǎng)

        這些軟件均有相似度較高的官網(wǎng)，頁面布局、語言描述等均高度相似。

以下為優(yōu)選PDF閱讀器及迅捷便簽的官網(wǎng)。

三、總結(jié)

近幾年，出現(xiàn)了一些打著“免費”的旗號，背后卻偷偷利用網(wǎng)民的電腦用作賺錢機器的工具軟件，這些軟件往往在表面騙取了用戶的信任，惡意行為卻很難被察覺。百度安全實驗室建議用戶能養(yǎng)成良好上網(wǎng)習(xí)慣，發(fā)現(xiàn)電腦異常及時使用安全軟件進(jìn)行安全檢測。對于政企機構(gòu)要加強對于軟件下載和升級的把控，加強網(wǎng)絡(luò)通信行為的分析感知能力。同時也倡導(dǎo)各軟件下載站和分發(fā)渠道能加強軟件審核、規(guī)范服務(wù)。

附錄1相關(guān)的軟件列表

關(guān)于“web安全之暗藏在常用工具軟件中的后門有哪些”這篇文章就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，使各位可以學(xué)到更多知識，如果覺得文章不錯，請把它分享出去讓更多的人看到。