导语:近日,360安全中心拦截到一个利用AdGuard Wfp白驱动下发浏览劫持规则篡改用户浏览器的木马,我们将其命名为“NpfIkms”木马。

一、木马概述

近日,360安全中心拦截到一个利用AdGuard Wfp白驱动下发浏览劫持规则篡改用户浏览器的木马,我们将其命名为“NpfIkms”木马。

分析后发现,“NpfIkms”主要是一类系统激活类恶意软件释放,以劫持用户浏览器流量牟利为目的,跟其他"流量劫持"类木马不同的是,该木马在劫持流量同时还会阻断安全软件联网,导致无法正常的查杀和升级。

二、木马分析

该木马会禁止安全软件联网,防止自身被查杀,还会篡改系统根证书,劫持各种返利网站流量来获取回报。

木马伪装在系统激活器中,运行后木马释放ikms.dll文件并注册服务启动,这个DLL是宿主程序,运行后会创建两个线程,进行内存加载运行核心木马功能IMain.dll(调用导出函数:dowork)和盗版激活程序KmsCore.dll。

1.png

图1

2.png

图2

3.png

图3

IMain.dll内存加载执行后会进行一系列木马功能的操作,还会进行内存加载白利用AdguardNetLib.dll并加载Adguard驱动,下面细说劫持功能:

木马通过云端更新劫持配置,目前已劫持1010个网址,其中包括各种导航站、购物网站、下载站等,劫持后木马将推广ID修改成自己的推广ID,来获取返利回报,只要有流量推广,都会成为木马的劫持目标。

4.png

图4

木马通过URL字符串特征对安全软件的云查杀功能进行拦截通信,阻止自身被安全软件查杀。

5.png

图5

木马还对列表中的指定进程禁止联网,来阻止安全软件更新和查杀。

6.png

图6

木马为了可以劫持SSL加密的https网站,向系统导入虚假的根证书,这样就可以实现中间人劫持替换SSL加密的网站内容和请求。

7.png

图7

添加本地虚假根证书后,使用浏览器访问被劫持的hao123页面,可以看到hao123的根证书已经被篡改,并且不会出现证书异常提醒,危害巨大。

8.png

图8

木马之所以有这么完善的网络过滤拦截功能,完全” 归功“于广告拦截软件AdGuard,AdGuard使用驱动对网络流量进行过滤清洗,来阻止流量中的广告,由于AdGuard自身驱动未校验调用者合法性,而产生的漏洞,导致任何程序都可以对其发送拦截替换等指令,木马恰恰抓住这个机会,进行滥用。

9.png

图9

三、安全提醒

各类系统激活类工具一直以来都是导航站、电商站劫持木马的主要传播途径,建议网友在使用激活类工具时候,尤其要注意一下几点:

1、建议网友尽量使用原版本操作系统,安装操作系统需要使用正规渠道。

2、如果一定要使用激活工具,使用下载前应先使用各类安全软件扫描,确保软件安全。

3、安装一款靠谱的安全软件。

四、样本信息

ikms.dll MD5: 17F5D7DE5AFA54966F9C6BFCBBF6996E
源链接

Hacking more

...