导语:近日,360安全中心拦截到一个利用AdGuard Wfp白驱动下发浏览劫持规则篡改用户浏览器的木马,我们将其命名为“NpfIkms”木马。
一、木马概述
近日,360安全中心拦截到一个利用AdGuard Wfp白驱动下发浏览劫持规则篡改用户浏览器的木马,我们将其命名为“NpfIkms”木马。
分析后发现,“NpfIkms”主要是一类系统激活类恶意软件释放,以劫持用户浏览器流量牟利为目的,跟其他"流量劫持"类木马不同的是,该木马在劫持流量同时还会阻断安全软件联网,导致无法正常的查杀和升级。
二、木马分析
该木马会禁止安全软件联网,防止自身被查杀,还会篡改系统根证书,劫持各种返利网站流量来获取回报。
木马伪装在系统激活器中,运行后木马释放ikms.dll文件并注册服务启动,这个DLL是宿主程序,运行后会创建两个线程,进行内存加载运行核心木马功能IMain.dll(调用导出函数:dowork)和盗版激活程序KmsCore.dll。
图1
图2
图3
IMain.dll内存加载执行后会进行一系列木马功能的操作,还会进行内存加载白利用AdguardNetLib.dll并加载Adguard驱动,下面细说劫持功能:
木马通过云端更新劫持配置,目前已劫持1010个网址,其中包括各种导航站、购物网站、下载站等,劫持后木马将推广ID修改成自己的推广ID,来获取返利回报,只要有流量推广,都会成为木马的劫持目标。
图4
木马通过URL字符串特征对安全软件的云查杀功能进行拦截通信,阻止自身被安全软件查杀。
图5
木马还对列表中的指定进程禁止联网,来阻止安全软件更新和查杀。
图6
木马为了可以劫持SSL加密的https网站,向系统导入虚假的根证书,这样就可以实现中间人劫持替换SSL加密的网站内容和请求。
图7
添加本地虚假根证书后,使用浏览器访问被劫持的hao123页面,可以看到hao123的根证书已经被篡改,并且不会出现证书异常提醒,危害巨大。
图8
木马之所以有这么完善的网络过滤拦截功能,完全” 归功“于广告拦截软件AdGuard,AdGuard使用驱动对网络流量进行过滤清洗,来阻止流量中的广告,由于AdGuard自身驱动未校验调用者合法性,而产生的漏洞,导致任何程序都可以对其发送拦截替换等指令,木马恰恰抓住这个机会,进行滥用。
图9
三、安全提醒
各类系统激活类工具一直以来都是导航站、电商站劫持木马的主要传播途径,建议网友在使用激活类工具时候,尤其要注意一下几点:
1、建议网友尽量使用原版本操作系统,安装操作系统需要使用正规渠道。
2、如果一定要使用激活工具,使用下载前应先使用各类安全软件扫描,确保软件安全。
3、安装一款靠谱的安全软件。
四、样本信息
ikms.dll MD5: 17F5D7DE5AFA54966F9C6BFCBBF6996E