Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌
360第一時間找到了相關程序樣本,并進行了分析。現在,我們不妨換個視角來談談這個Fireball到底是怎么回事兒。
?“復雜的”惡意軟件
“復雜的”惡意軟件這個評價并不是我們給出的,而是Check Point給出的。(原文:'sophisticated' malware)
那么,究竟這款惡意軟件有多么的“復雜”呢?
首先,Fireball相關的惡意軟件,會在安裝時強制用戶勾選同意修改Chrome瀏覽器主頁和新標簽頁的選項。
然后,惡意軟件會向Chrome瀏覽器中添加相關的擴展程序(也就是很多人俗稱的Chrome瀏覽器插件——雖然這個叫法并不準確)。經分析,擴展程序會通過Manifest.json配置文件,修改Chrome瀏覽器的主頁、起始頁和新標簽頁(截圖以DealWifi為例):
manifest.json內容(重點是兩個“overrides”)?
newtab.html內容?
最后——就沒有了!是的,就這么“復雜”。?
當然,強制勾選+修改瀏覽器配置,這已經足夠定性為“惡意”了。但說到實質性的“威脅”,Check Point基于全球2.5億的傳播量來說,認為可能“引發全球災難”,但同時也提到了——只是“有這個能力”而已。(原文:has the power to "initiate a global catastrophe")
惡意?流氓!
惡意軟件(malware)的說法其實是非常寬泛的,基本可以認為:凡是被安全軟件以正當理由攔截的軟件(上到蠕蟲、木馬,下到廣告程序)都是惡意軟件。但具體到這次的Fireball家族,其實在國內有一個更為大家所熟知的名字——流氓軟件。
說到流氓軟件,相信國內廣大群眾都是非常熟悉的。如果把我們對流氓軟件的一貫認知套用在這次Fireball事件上,Fireball的行為在“流氓軟件”的這個分類中,已經算是很厚道的了。
其一,有安裝界面,并且提供明顯的勾選項讓用戶去勾選:
試問,國內有幾個流氓軟件能有安裝界面?有安裝界面的有幾個能讓你勾選的?有勾選項的真能讓你看到么?
其二,有卸載項:
“并沒有隱藏卸載項”光憑這一點就比國內某些“正常軟件”厚道到不知哪里去了。
其三,卸載項真的管用。換句話說,就是真的能夠通過正常的軟件卸載方法成功移除該軟件。
說實話,真正的核心“流氓”行為其實就在于第一步勾選設置Chrome主頁和新標簽的選項是強制的,不選不讓裝。
“墻內開花”緣何“墻外香”?
根據Check Point披露的數據,這款來自中國的惡意程序感染重災區,前五名分別是印度、巴西、墨西哥、印度尼西亞和美國,在中國的傳播量卻并不多。這枝“墻內花”為何會“墻外香”呢?(當然,準確地說應該是墻外“臭”)
其實原因很簡單——這類軟件在中國生存,太艱難了。
早在2014年,360就發布了分析報告《流氓推廣那些事》,當時一款偽裝成色情播放器的軟件,通過云控列表,在完全沒有任何勾選和提示的情況下,一次性地向用戶電腦推廣了24款軟件,其流氓行為至今仍令人咋舌。
推廣程序之多,當時甚至把測試用的虛擬機給卡死了:
流氓軟件的出現早在2014年以前,在發布這篇報告的時候,流氓軟件在國內已經成氣候甚至是成產業地在運作了。
2015年,360又發布了博文《一不留神就被別人當槍使的年代》,流氓軟件不僅自身行為流氓,還通過偽裝殺毒軟件彈窗來誤導用戶主動去下載和安裝流氓軟件:
當然,流氓軟件推廣的程序的場景依然喪心病狂:
同年,我們還發現了利用更為成熟的木馬手段進行傳播的流氓軟件——《云控攻擊之“人生在世”木馬分析》
該流氓軟件使用了木馬手段,偽裝成“小馬激活”工具,利用三重ShellCode去加載惡意代碼。在惡意代碼“不落地”的情況下完成攻擊,而最終的目的,就是進行流氓推廣賺取推廣傭金。
之后,我們還發布了《來自播放器的你——“中國插件聯盟”木馬分析》來分析利用廣告頁面掛馬的方法入侵用戶機器進行流氓推廣的流氓軟件,以及發布《木馬盜用“風行播放器簽名”流氓推廣》來闡述一款通過盜用正常軟件簽名進行流氓推廣的流氓軟件。
而就在上個月,我們還發現了一款與Fireball性質非常類似,而行為卻惡劣得多的流氓軟件。該軟件偽裝成色情播放器:
一旦雙擊,全程無安裝界面靜默安裝。安裝后該軟件會向系統中導入證書:
通過這種方法劫持大量國內知名站點的HTTPS訪問。以360自己的導航網站為例,一旦讓該流氓軟件成功在機器上運行。360導航的頁面將被插入一個1224ssltuiu.js腳本,進而劫持導航頁面中的搜索框,篡改為其他搜索引擎。
以上僅是一例,被劫持的并不只有360導航而已。其涉及網站之多,僅從流氓軟件導入到系統的證書所簽發的域名便可見一斑:
國內流氓軟件在與安全軟件的對抗中,手段不斷升級。而相對的,國內安全軟件也在一代又一代流氓軟件的洗禮下,實現了監控、查殺、攔截手段的日臻成熟。反觀Fireball的這種手法,著實算不得高明。這種程度的推廣手法,在國內安全軟件面前,可以說是毫無招架之力。
提高警惕,不必恐慌
綜上所述,這次的Fireball事件只是國產流氓軟件的一次“外銷”事件。Fireball不僅在國內傳播量很小,在與國內安全軟件的對抗中更是毫無威脅可言。所以大家只需對此類流氓軟件提高警惕,安裝并開啟安全軟件并及時更新即可。畢竟,我們什么大場面我們沒見過!
原文發布時間為:2017年6月4日 本文來自云棲社區合作伙伴嘶吼,了解相關信息可以關注嘶吼網站。 原文鏈接
總結
以上是生活随笔為你收集整理的Fireball真相:一个菜鸟级流氓软件竟让老外如临大敌的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Zero-Shot Deep Domai
- 下一篇: Admob反馈利诱性质流量(无效流量)解