《火絨安全》
近日,火絨工程師在幫助用戶遠程解決問題時,現場發現一個間諜木馬模塊(TrojanSpy),溯源後發現該木馬來源爲知名軟件“酷我音樂”。該木馬運行後,會蒐集用戶QQ號等隱私信息,還會通過用戶上網歷史歸納用戶特徵,並回傳至“酷我音樂”服務器後臺。由於該軟件下載量較多,導致受影響的用戶範圍較大。目前火絨安全軟件最新版可查殺該病毒。
火絨工程師深入分析發現,“酷我音樂”攜帶的間諜木馬會在後臺進行蒐集用戶隱私信息等惡意行爲:
1、蒐集用戶主機登錄過的QQ號碼。
2、通過瀏覽器瀏覽歷史歸納用戶特徵後回傳後臺。
3、通過雲控配置下發命令至用戶電腦,比如下載音頻文件回傳到服務器後臺。
此外,該木馬還可隨時通過遠程服務器進行其它操作,不排除未來通過修改雲控配置下發其它風險模塊的可能性。
同時, “酷我音樂”會通過雲控下發兩套間諜木馬:一套下發在軟件的安裝目錄下;另外一套則會下發到非軟件安裝目錄,且即便“酷我音樂”卸載後仍然駐留用戶系統,持續響應雲控指令。
事實上,早在2015年,“酷我音樂”攜帶的上述間諜木馬就曾被國外安全廠商報“潛在不需要的程序(PUA/PUP)”(見下方用戶反饋鏈接)。可能由於該報法與行業內對惡意軟件的定義有區別,因此未能引起其它安全廠商注意。直到今日火絨工程師在用戶現場中發現,進而詳細分析,認爲這套組件功能已經超出了“PUA/PUP”的定義,且符合 間諜木馬的定義。
值得一提的是,火絨工程師還發現該間諜木馬的雲控配置的鏈接在一個名爲“bigdata”(大數據)目錄下,推測該間諜木馬是用作所謂的大數據收集之用。
信息時代的發展,越來越多的互聯網公司對“大數據”趨之若鶩,對於過分追求數據信息而出現越權行爲的軟件、程序,火絨都將及時、持續進行攔截查殺,保護用戶合理權益。同時,我們也呼籲 此類軟件廠商,停止越權蒐集用戶信息等惡意行爲,理性逐利,長久發展。最後,用戶如 遇到任何可疑問題,可隨時聯繫火絨獲得幫助。
一、溯源分析
近期,我們接到用戶反饋,在用現場發現多個帶有有效酷我音樂數字簽名(BEIJING KUWO TECHNOLOGY CO.,LTD.)的可疑模塊。可疑模塊出現目錄,如下圖所示:
kreap5141.dll數字簽名信息,如下圖所示:
經過分析,我們發現這是一組惡意程序,kreap5141.dll爲隨機名動態庫,該動態庫會被註冊爲ShellIconOverlayIdentifiers啓動項由explorer進行加載。kreap5141.dll動態庫會使用rundll32.exe調用kreap5141_core.dll獲取任務動態庫到用戶本地執行。 kreap5141_core.dll 可以從C&C服務器下發惡意功能模塊到用戶本地執行,惡意功能包括從用戶本地收集在當前計算機登錄過的QQ號信息、瀏覽器歷史記錄畫像信息、軟件安裝信息等、上傳音頻文件等。
之後通過溯源,我們又在酷我音樂安裝目錄下找到了具有相同功能代碼的惡意模塊KwExternal.exe,該模塊由KwService.exe從服務器獲取,由酷我音樂主程序(kwmusic.exe)調用,執行後即會根據服務器返回的配置數據收集用戶隱私信息。由於惡意功能代碼與前文中隨即名動態庫相同,所以我們僅以KwExternal.exe爲例進行分析。惡意行爲執行流程,如下圖所示:
KwExternal.exe文件數字簽名信息中顯示簽名時間爲2019年4月8日。數字簽名信息,如下圖所示:
二、詳細分析
KwExternal.exe惡意模塊主要用來收集、上傳用戶本地信息,在安裝酷我音樂後會有KwService.exe進行下發,由酷我音樂主程序(kwmusic.exe)調用。相關下發邏輯在Kwmv.dll模塊中實現,首先向C&C服務器地址(http://deliver.kuwo.cn/yl_res_manage.search)請求KwExternal.exe模塊下載地址。發送請求時,會將MAC地址、IP地址等信息發送至服務器,請求構造的相關數據,如下圖所示:
上述數據經過Base64編碼後會發送到C&C服務器,構造後的請求數據包相關數據,如下圖所示:
C&C服務器在收到請求後會返回KwExternal.exe模塊的下載地址,僅以部分數據爲例,如下圖所示:
隨後KwExternal.exe模塊數據會被下載至本地的C:KwDownloadTemp目錄下的隨機名文件(如:C9F903ADC5ED0F62.exe),之後再由酷我音樂主程序kwmusic.exe將隨機名文件移動至安裝目錄下,啓動KwExternal.exe執行惡意行爲。相關行爲日誌,如下圖所示:
KwExternal.exe運行後會根據本地配置(C:ProgramDatakuwodatakwmusic2013ConfServerconfig.ini)中的數據收集開關選項(DataCollect)收集用戶本地信息,且該開關默認爲打開狀態。KwExternal.exe收集的用戶信息包含有:用戶本地登錄過的QQ號、用戶終端上網行爲信息、終端環境信息(軟件環境、桌面圖標等)、下載並收集音頻文件等。除此之外,相關配置信息,如下圖所示:
該模塊會根據雲控下發的規則配置文件對所需要的信息進行收集,然後保存爲json格式並加密傳輸到C&C服務器。服務器地址可以通過配置文件配置,默認爲hxxp://ecomgxh.kuwo.cn/EcomGxhServer/st/receiveUserInfoServlet。收集信息的規則文件現在無法請求到,但是不排除之後再次下發的可能性。從代碼邏輯可以看出,收集用戶信息包括:用戶訪問具體網站的次數,用戶是否安裝了特定的影音播放器,是否安裝了黑名單中的軟件,是否經常訪問某些網站以及進行遊戲和觀看直播的程度。被髮送的json格式信息,如下圖所示:
收集終端環境信息
軟件信息收集
該模塊會通過遍歷HKLM和HKCU主鍵下的SOFTWAREMicrosoftWindowsCurrentVersionUninstall子鍵,得到用戶安裝的軟件列表。然後與規則文件中的軟件名稱進行匹配,得到用戶安裝的瀏覽器(爲收集瀏覽器歷史信息做準備),影音播放器,遊戲盒子,遊戲微端,直播軟件和在黑名單中的軟件情況。相關代碼,如下圖所示:
查詢是否安裝特定影音播放器列表,如下圖所示:
桌面圖標後綴信息收集
該惡意模塊還會對“%COMMON_DESKTOPDIRECTORY%”和“%DESKTOPDIRECTORY%”目錄下的用戶圖標文件進行遍歷,獲取圖標後綴信息,相關代碼如下圖所示:
當獲取完用戶桌面上的圖標後綴信息之後,後續的發送數據流程與下文發送QQ賬號信息的方法一致,相關代碼如下圖所示:
收集用戶本地登錄過的QQ號
該惡意模塊會獲取用戶系統“%APPDATA%TencentQQMisc”目錄下的QQ賬號信息,相關代碼如下圖所示:
當獲取完用戶系統上的QQ賬號信息之後,該模塊便會將其通過zlib壓縮,並加密使用Base64編碼後,放入消息數據包中,創建網絡線程,從而傳輸給遠程服務器(hxxp://log1.kuwo.cn/feedback.s或hxxp://log.kuwo.cn/music.yl),相關代碼如下圖所示:
收集用戶終端上網行爲信息
受影響的瀏覽器名稱及相關代碼,如下圖所示:
該惡意模塊會通過sql命令及系統相關函數來查詢用戶瀏覽器的歷史訪問記錄信息,下面以搜狗高速瀏覽器爲例。首先,該模塊會檢測收集軟件信息時得到的瀏覽器標記位,判斷用戶主機上是否安裝搜狗高速瀏覽器。如果搜狗高速瀏覽器正在運行,則將儲存有用戶歷史瀏覽記錄的數據庫文件複製並重命名到臨時文件目錄下。相關代碼如下圖所示:
之後運行sql命令“SELECT a.id,a.last FROM UserRankUrl a;”查詢歷史記錄數據庫中用戶近一個月的歷史訪問網址及訪問時間,相關代碼如下圖所示:
通過sqlite查看工具執行命令“SELECT a.id,a.last FROM UserRankUrl a;”查詢搜狗高速瀏覽器歷史網址數據庫HistoryUrl3.db,得到歷史網址和訪問時間。結果如下圖所示:
獲取完上述所列出的瀏覽器歷史訪問記錄後,該模塊會根據配置文件中的關鍵網址字段信息與歷史網址記錄進行匹配,如若匹配成功,則將該網址對應的訪問計數值加一,用於填寫json信息中的rule值。當訪問計數值到達配置中數值要求時,則將json信息中的testLinkType中對應的字段值置一。根據收集到的歷史記錄和安裝軟件信息,歸納出用戶特徵,填充json信息中的userType字段值。下面 以“GamePlateMatch”爲例,相關代碼如下圖所示:
將收集到的json格式信息進行簡單的異或加密和Base64編碼後,發送至C&C服務器。相關代碼,如下圖所示:
下載並收集音頻文件
在執行下載收集音頻文件相關操作時,首先會檢測本地config.ini配置文件中DataCollect -> EnableSongCollect的值是否爲1,判斷是否執行下載收集音頻文件流程,之後再在SongLink -> UrlQurySongReg項下獲取音頻下載地址。相關代碼,如下圖所示:
如上圖代碼所示,首先會請求配置數據,該配置數據中包含有音頻下載配置的下載地址(url)和上傳地址(td_ip)。配置數據格式,如下圖所示:
上述配置數據中url字段包含有音頻下載配置的下載地址,音頻下載配置中存放有需要收集的音頻文件下載地址。音頻下載配置格式,如下圖所示:
音頻下載配置解析相關代碼,如下圖所示:
在獲取音頻文件下載地址的同時,還會判斷下載地址中是否包含“_h.mp3”字符串,如果存在則會執行下載操作。相關代碼,如下圖所示:
之後,相關惡意代碼邏輯會檢測SongDataCollect.pl文件中記錄的文件路徑(filePath)是否存在。如果filePath中的路徑存在,則調用上傳邏輯將音頻文件內容上傳至C&C服務器(前文配置中td_ip爲上傳C&C服務器地址);如果不存在則會按照前文中提到的音頻下載地址下載音頻文件到本地Temp目錄中,再將Temp目錄中下載的音頻文件上傳回C&C服務器。相關配置格式,如下圖所示:
相關代碼,如下圖所示:
最後,會將本地獲取或者下載的音頻文件數據上傳至C&C服務器(前文配置中td_ip爲上傳C&C服務器地址)。相關代碼邏輯,如下圖所示:
由於現行酷我音樂相關配置暫未開啓,所以我們根據KwExternal.exe代碼邏輯構造了相應的配置文件進行功能驗證,驗證結果與分析內容完全一致。相關行爲,如下圖所示:
三、同源性分析
我們在用戶現場提取到的kreap5141.dll隨機名動態庫會根據配置文件下發的惡意模塊到本地執行,在下發的多個惡意模塊中,我們找到了一個和KwExternal.exe功能高度相似的惡意模塊1002.dll。1002.dll數字簽名信息,如下圖所示:
kreap5141.dll隨機名動態庫雖然帶有酷我音樂有效數字簽名,但是酷我音樂卸載時,並不會對kreap5141.dll相關惡意模塊進行刪除。下發惡意代碼到用戶本地執行的相關配置數據,如下圖所示:
KwExternal.exe與1002.dll代碼具有極高相似性,所以系同源惡意模塊。同源代碼,如下圖所示:
此文摘自https://www.huorong.cn/safe/1578637832418.html