Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

【安全报告】360威胁情报中心:软件供应链来源攻击分析报告

0
0
【安全报告】360威胁情报中心:软件供应链来源攻击分析报告

2017-09-11 11:23:24

阅读:985次
点赞(0)
收藏
来源: 安全客





【安全报告】360威胁情报中心:软件供应链来源攻击分析报告

作者:360天眼实验室





【安全报告】360威胁情报中心:软件供应链来源攻击分析报告

综述

2017年8月,非常流行的远程终端管理软件 Xshell 被发现植入了后门代码,导致大量使用此款工具的用户泄露主机相关的敏感信息。同时,近期大量的使用软件捆绑进行传播的黑产活动也被揭露出来,从影响面来看这些恶意活动的力度颇为惊人,这类来源于供应链并最终造成巨大危害的安全事件其实并不少见,而我们所感知的可能只是冰山一角而已。

以最近这些事件为切入点,360威胁情报中心对软件供应链来源的攻击做了大量的案例分析,得到了一些结论并提供对策建议。在本报告中,360威胁情报中心首先对软件供应链的概念进行了梳理,划分了开发、交付及使用环节。然后针对每个环节,以实例列举的方式分析了相应环节中目前已经看到过的攻击向量,同时提供了每个事件的发生时间、描述、直接威胁和影响范围等信息。在这些案例分析的基础上,整合信息做可视化展示并提出一些结论。最后,基于之前章节的事实分析,360威胁情报中心提出了从供应链安全角度对相应威胁进行防护的对策和建议。


软件供应链相关概念

概念和环节划分

传统的供应链概念是指商品到达消费者手中之前各相关者的连接或业务的衔接,从采购原材料开始,制成中间产品以及最终产品,最后由销售网络把产品送到消费者手中的一个整体的供应链结构。

传统商品的供应链概念也完全适用于计算机软硬件,则可以衍生出软件供应链这一概念。出于简化分析的目的,我们将软件供应链简单抽象成如下几个环节:

1. 开发环节

软件开发涉及到的软硬件开发环境、开发工具、第三方库、软件开发实施等等,并且软件开发实施的具体过程还包括需求分析、设计、实现和测试等,软件产品在这一环节中形成最终用户可用的形态。

2. 交付环节

用户通过在线商店、免费网络下载、购买软件安装光盘等存储介质、资源共享等方式获取到所需软件产品的过程。

3. 使用环节

用户使用软件产品的整个生命周期,包括软件升级、维护等过程。

灰色供应链

在国内,众多的未授权的第三方下载站点、云服务、共享资源、破解盗版软件等共同组成了灰色软件供应链,这些环节的安全性问题其实也属于软件供应链攻击的范畴,但由于这些问题属于长期困扰我国信息系统安全的灰色供应链问题,具有一定的中国特色,故单独进行说明。

我们在接下来的事件分析中会有很多涉及到灰色供应链的案例,特别是软件交付环节中的“捆绑下载”等案例,以及各类破解、汉化软件被植入木马后门等,而这些案例也会被归属到我们定义的软件供应链攻击范畴中。


攻击场景与案例分析

前面定义了软件供应链的概念并抽象出了软件供应链的几大环节,那么显而易见的是,攻击者如果针对上述各个环节进行攻击,那么都有可能影响到最终的软件产品和整个使用场景的安全。从我们分析的多个现实攻击的案例来看,第三方库、开发工具、开发软硬件环境、到达用户的渠道、使用软硬件产品的过程等供应链相关的安全风险,并不低于针对软件应用本身、相应操作系统的安全漏洞导致的安全风险。

近年来我们观察到了大量基于软硬件供应链的攻击案例,比如针对Xshell源代码污染的攻击机理是攻击者直接修改了产品源代码并植入特洛伊木马;针对苹果公司的集成开发工具Xcode的攻击,则是通过影响编译环境间接攻击了产出的软件产品。这些攻击案例最终影响了数十万甚至上亿的软件产品用户,并可以造成比如盗取用户隐私、植入木马、盗取数字资产等危害。接下来我们将从划分出来各环节的角度,举例分析这些针对供应链攻击的重大安全事件。

开发环节

软件开发涉及到软硬件开发环境部署、开发工具、第三方库等的采购/原料供应、软件开发测试等等,各环节都可能被恶意攻击,在针对软件开发环境的攻击中就有开发机器被感染病毒木马、开发工具植入恶意代码、第三方库被污染等攻击方式。

而具体的软件开发更是一个复杂的过程,不单单是源码的编写,还涉及到诸如需求分析、开源/商业库使用、算法、外包开发等等复杂环节,其中的各个环节都有可能被攻击并造成严重后果。最近的Xshell后门代码植入事件就是最切实的例子,更早的事件还包括NSA联合RSA在加密算法中植入后门等,下面是我们整理的在开发环节针对开发环境以及软件开发过程进行工具污染、源代码攻击以及厂商预留后门等真实案例。

开发工具污染

针对开发工具进行攻击,影响最为广泛的莫过于XcodeGhost(Xcode非官方版本恶意代码污染事件),值得一提的是早在30多年前的1984年,UNIX创造者之一Ken Thompson在其ACM图灵奖的获奖演讲中发表了叫做Reflections on Trusting Trust(反思对信任的信任)的演讲。他分三步描述了如何构造一个非常难以被发现的编译器后门,后来被称为 the Ken Thompson Hack(KTH),这或许是已知最早的针对软件开发工具的攻击设想。而最近的XcodeGhost最多只能算是KTH的一个简化版本,没有试图隐藏自己,修改的不是编译器本身,而是Xcode附带的框架库。

Xcode非官方版本恶意代码污染事件

事件名称Xcode非官方版本恶意代码污染

披露时间2015年9月

事件描述Xcode 是由苹果公司发布的运行在操作系统Mac OS X上的集成开发工具(IDE),是开发OS X 和 iOS 应用程序的最主流工具。

2015年9月14日起,一例Xcode非官方版本恶意代码污染事件逐步被关注,并成为社会热点事件。多数分析者将这一事件称为“XcodeGhost”。

攻击者通过向非官方版本的Xcode注入病毒Xcode Ghost,它的初始传播途径主要是通过非官方下载的 Xcode 传播,通过 CoreService 库文件进行感染。当应用开发者使用带毒的Xcode工作时,编译出的App都将被注入病毒代码,从而产生众多携带病毒的APP。

直接威胁用户信息搜集,弹窗钓鱼,远程控制

影响范围至少692种APP受污染,过亿用户受影响,受影响的包括了微信、滴滴、网易云音乐等著名应用。

参考链接

http://bobao.360.cn/learning/detail/670.html

http://www.antiy.com/response/xcodeghost.html

源代码污染

软件产品如果在源代码级别被攻击者植入恶意代码将非常难以被发现,并且这些恶意代码在披上正规软件厂商的合法外衣后更能轻易躲过安全软件产品的检测,或许会长时间潜伏于用户机器中不被察觉,最近曝光的远程终端管理工具Xshell被植入后门代码则属于这类攻击中的经典案例。

Xshell backdoor

事件名称远程终端管理工具Xshell被植入后门代码

披露时间2017年8月14日

事件描述Xshell是NetSarang公司开发的安全终端模拟软件,2017年7月18日发布的软件被发现有恶意后门代码,该恶意的后门代码存在于有合法签名的nssock2.dll模块中。

事件时间线:

2017年8月7日

流行远程管理工具Xshell系列软件的厂商NetSarang发布了一个更新通告,声称在卡巴斯基的配合下发现并解决了一个在7月18日的发布版本的安全问题,提醒用户升级软件,其中没有提及任何技术细节和问题的实质,而且声称没有发现漏洞被利用。

2017年8月14日

360威胁情报中心分析了Xshell Build 1322版本(此版本在国内被大量分发使用),发现并确认其中的nssock2.dll组件存在后门代码,恶意代码会收集主机信息往DGA的域名发送并存在其他更多的恶意功能代码。360威胁情报中心发布了初始的分析报告,并对后续更复杂的恶意代码做进一步的挖掘分析,之后其他安全厂商也陆续确认了类似的发现。

2017年8月15日

卡巴斯基发布了相关的事件说明及技术分析,与360威胁情报中心的分析完全一致,事件可以比较明确地认为是基于源码层次的恶意代码植入。非正常的网络行为导致相关的恶意代码被卡巴斯基发现并报告软件厂商,在8月7日NetSarang发布报告时事实上已经出现了恶意代码在用户处启动执行的情况。同日NetSarang更新了8月7日的公告,加入了卡巴斯基的事件分析链接,标记删除了没有发现问题被利用的说法。

从后门代码的分析来看,黑客极有可能入侵了相关开发人员的电脑,在源码植入后门,导致官方版本也受到影响。并且由于dll文件已有官方签名,众多杀毒软件依据白名单机制没有报毒。该后门代码可导致用户远程登录的信息泄露。

直接威胁用户计算机中插入后门,窃取用户远程登录信息

影响范围针对开发、运维人员,目前初步估计十万级别用户受影响

参考链接

http://bobao.360.cn/learning/detail/4278.html

https://securelist.com/shadowpad-in-corporate-networks/81432/

厂商预留后门

软件厂商在开发过程中出于方便测试或后续技术支持的考虑可能会预留一些超级管理员账户在软件产品中,而当软件正式发布时忘记删除或故意留下这些 “后门”,导致产品发布后被攻击者利用造成巨大危害,多个厂商的家庭路由设备都曝光过此类安全事件。

而某些厂商处于国家安全的需要,可能也会为国家安全部门预留一些“接口”,方便获取用户敏感数据,比如曝光的“棱镜门”。

Arris为AT&T家庭用户定制版调制解调器内置后门事件

事件名称Arris为AT&T家庭用户定制版调制解调器内置后门事件

披露时间2017年8月

事件描述2017年8月,安全研究人员发现知名电信设备制造商Arris生产的调制解调器存在5个安全漏洞,其中有3个是硬编码后门账号漏洞。攻击者利用三个后门账号均可控制设备,提升至ROOT权限、安装新固件,乃至于架设僵尸网络等。

以下为Nomotion发现漏洞的大致细节:

后门#1

调制解调器默认启用SSH并允许互联网连接,攻击者使用内置的默认账号密码“remotessh/5SaP9I26”访问,可以直接获得ROOT权限,执行任意操作。

后门#2

Arris调制解调器有个内置Web服务器,攻击者通过49955端口使用“tech/空”账号密码即可访问后台管理面板。

命令注入

该Web服务器还容易受到命令注入漏洞攻击,攻击者可以在Web服务器环境拿到Shell权限。

后门#3

攻击者可以使用账号密码“bdctest/bdctest”账号密码在61001端口访问设备,前提是需要知道设备的序列号。

防火墙绕过

攻击者在49152端口发送特定的HTTP请求,可绕过调试解调器内置防火墙并打开TCP代理连接,并继续利用之前的四个漏洞。

有问题的调制解调器型号为Arris NVG589、Arris NVG599,主要在美国宽带运营商AT&T的网络里使用,但在Arris官网找不到信息(停产产品?)。Nomotion研究人员推测,它们可能是专为AT&T家庭用户定制的入网设备。

直接威胁可被攻击者直接登录获得root权限

影响范围研究人员认为目前在线的易受漏洞攻击调制解调器至少有22万台

参考链接http://mp.weixin.qq.com/s/QmNd9J84q7ZuWyrihUZBTg

惠普笔记本音频驱动内置键盘记录后门事件

事件名称惠普笔记本音频驱动内置键盘记录后门事件

披露时间2017年5月

事件描述2017年5月,来自瑞士安全公司Modzero的研究人员在检查windows Active Domain的基础设施时发现惠普音频驱动中存在一个内置键盘记录器监控用户的所有按键输入。

按键记录器会通过监控用户所按下的键来记录所有的按键。恶意软件和木马通常会使用这种功能来窃取用户账户信息、信用卡号、密码等私人信息。惠普计算机带有集成电路厂商Conexant开发的音频芯片,该厂商还会为音频芯片开发驱动即Conexant高清音频驱动,有助于软件跟硬件通信。根据计算机机型的不同,惠普还将一些代码嵌入由Conexant开发的音频驱动中从而控制特殊键如键盘上的Media键。

研究人员指出,惠普的缺陷代码(CVE-2017-8360)实现不良,它不但会抓取特殊键,而且还会记录每次按键并将其存储在人类可读取的文件中。这个记录文件位于公用文件夹C:\Users\Public\MicTray.log中,包含很多敏感信息如用户登录数据和密码,其它用户或第三方应用程序都可访问。因此安装到计算机上的恶意软件甚至是能物理接近计算机的人都能够复制日志文件并访问所有的用户按键、提取敏感数据如银行详情、密码、聊天日志和源代码。

2015年,这个按键记录功能以新的诊断功能身份在惠普音频驱动版本1.0.0.46中推出,并自此有近30款惠普计算机都内置有这种功能。

受影响的机型包括HP Elitebook 800系列、EliteBook Folio G1、HP ProBook 600和400系列等等。

直接威胁获取用户键盘输入记录

影响范围HP Elitebook 800系列、EliteBook Folio G1、HP ProBook 600和400系列等数十款产品,很可能其它使用了Conexant硬件和驱动器的硬件厂商也受影响,实际受影响用户数未知(参考数据:惠普2016年笔记本市场份额20%,销量超千万)

参考链接

http://bobao.360.cn/news/detail/4159.html

http://bobao.360.cn/learning/detail/3847.html

家用路由器后门事件

事件名称家用路由器后门事件

披露时间近年

事件描述各类家用路由器厂商在开发过程中忘记删除测试版本中的调试后门,也有部分厂商为了方便售后管理也会在路由器中预留各类超级后门。由于这类安全事件频繁发生,故我们将其统一归为一类,参考链接中列举了多起此类安全事件。

直接威胁调试后门或者预留后门可被攻击者直接登录获得root权限

影响范围各类家用路由器

参考链接

http://bobao.360.cn/news/detail/1260.html

http://0day5.com/archives/241/

Juniper VPN后门事件

事件名称Juniper VPN后门事件

披露时间2015年12月

事件描述2015年12月15日著名的网络设备厂商Juniper公司发出风险声明,其防火墙、VPN设备使用的操作系统具有重大安全风险,建议尽快升级相关版本。

声明中提及两个重大风险:1)设备的SSH登录系统在输入任意用户名的情况下,使用超级密码“<<< %s(un='%s') = %u”后就可以最高权限登录系统。2)设备的VPN安全通道上传递的数据可以被攻击人解密、篡改和注入。

直接威胁设备的SSH登录系统在输入任意用户名的情况下,使用超级密码就可以最高权限登录系统,设备的VPN安全通道上传递的数据可以被攻击人解密、篡改和注入。

影响范围全球上万NetScreen设备被攻击。

参考链接

https://www.secpulse.com/archives/42059.html

http://netsecurity.51cto.com/art/201512/502232.htm

http://www.myibc.net/about-us/news/1627-juniper-vpn后门事件分析.html

WormHole

事件名称WormHole

披露时间2015年11月

事件描述2015年11月百度moplus SDK的一个被称为虫洞(Wormhole)的漏洞被漏洞报告平台wooyun.org所披露,研究人员发现Moplus SDK具有后门功能,但这不一定是由于漏洞或跟漏洞相关,之所以称之为漏洞是基于Moplus SDK的访问权限控制以及应该如何限制这种访问的角度。因此,它虽然具有漏洞相关的概念而实际上是一个后门程序,如推送钓鱼网页,插入任意联系人,发送伪造短信,上传本地文件到远程服务器,未经用户授权安装任意应用到Android设备。而执行这些行为唯一的要求是该设备首先需要连接互联网。由于Moplus SDK已经被集成到众多的Android应用程序中,这就意味着有上亿的Android用户受到了影响。研究结果还表明,已经有恶意软件在利用Moplus SDK的漏洞了。

此后门被报导后“一石激起千层浪”,它被植入到14000款app当中,这些app有接近4000个都是由百度出品的。

直接威胁推送钓鱼网页,插入任意联系人,发送伪造短信,上传本地文件到远程服务器,未经用户授权安装任意应用到Android设备

影响范围14000款app遭植入,安卓设备感染量未知

参考链接

http://bobao.360.cn/learning/detail/2244.html

https://www.secpulse.com/archives/40062.html

iBackDoor

事件名称mobiSage广告库被植入后门代码

披露时间2015年11月

事件描述艾德思奇(adSage)是移动广告应用开发商。2015年11月FireEye的Zhaofeng等人发表了一篇报告叫《iBackDoor: High-Risk Code Hits iOS Apps》。报告中指出FireEye的研究员发现了疑似”后门”行为的广告库mobiSage在上千个app中,并且这些app都是在苹果官方App Store上架的应用。通过服务端的控制,这些广告库可以做到录音和截屏、上传GPS信息、增删改查app数据、读写app的钥匙链、发送数据到服务器、利用URL schemes打开其他app或者网页、安装企业应用等功能。

直接威胁录音和截屏、上传GPS信息、增删改查app数据、读写app的钥匙链、发送数据到服务器、利用URL schemes打开其他app或者网页、安装企业应用。

影响范围2,846个app包含后门库,苹果设备感染量未知。

参考链接

https://www.fireeye.com/blog/threat-research/2015/11/ibackdoor_high-risk.html

http://bobao.360.cn/learning/detail/2248.html

http://bobao.360.cn/learning/detail/2263.html

棱镜计划

事件名称棱镜计划(PRISM)

披露时间2013年

事件描述棱镜计划(PRISM)是一项由美国国家安全局(NSA)自2007年起开始实施的绝密电子监听计划,该计划的正式名号为“US-984XN”,直接进入美国网际网路公司的中心服务器里挖掘数据、收集情报,包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头皆参与其中。

其中以思科公司为代表的科技巨头利用其占有的市场优势在科技产品中隐藏“后门”,协助美国政府对世界各国实施大规模信息监控,随时获取各国最新动态。思科公司多款主流路由器产品被曝出在VPN隧道通讯和加密模块存在预置式“后门”,即技术人员在源码编写过程中已经将“后门”放置在产品中,利用“后门”可以获取密钥等核心敏感数据。

直接威胁信息监控、获取敏感信息

影响范围几乎涵盖所有接入互联网使用的人群

参考链接

https://baike.baidu.com/item/棱镜门/6006333?fr=aladdin

http://bobao.360.cn/news/detail/1406.html

F5 BIG-IP内置SSH 私钥

事件名称F5 BIG-IP内置SSH私钥

披露时间2012年6月

事件描述F5公司是应用交付网络(ADN)领域全球领导者.提供应用安全,数据中心防火墙,负载均衡,数据存储,广域网优化,虚拟化及云计算解决方案。

2012年6月,安全研究人员发现F5多个产品(F5 BIG-IP)存在一个未明配置错误,允许未身份验证的用户以“root”账户登录设备。问题原因是SSH private key对应的公钥内置于漏洞设备中,使得用户可以绕过验证直接登录F5设备。

受影响的产品和版本如下:

BIG-IP LTM 版本9.x, 10.x和11.x

BIG-IP GTM 版本 9.x, 10.x和11.x

BIG-IP ASM 版本 9.x, 10.x和11.x

BIG-IP Link Controller 版本 9.x, 10.x和11.x

BIG-IP PSM 版本 9.x, 10.x和11.x

BIG-IP WOM 版本 10.x and 11.x

BIG-IP APM 版本 10.x and 11.x

BIG-IP Edge Gateway 版本 10.x和11.x

BIG-IP Analytics 版本 11.x

Enterprise Manager 版本 1.x和2.x

直接威胁设备遭恶意用户绕过验证登录

影响范围未知

参考链接

https://www.trustmatta.com/advisories/MATTA-2012-002.txt

https://www.trustmatta.com/advisories/matta-disclosure-policy-01.txt

交付环节

软件从开发商到达用户手中的过程都属于软件交付环节,在互联网时代,这个过程主要是通过购买/共享存储介质、网络下载等方式实施。

而基于我国的“国情”,国内针对软件交付环节进行攻击的案例最为广泛,因为攻击成本最低,主要体现在软件捆绑下载安装这类攻击手法中,另外还有诸如下载劫持(域名劫持、城域网缓存毒化)、物流链劫持等攻击手法。

捆绑下载

我们已经提到过,众多的未授权的第三方下载站点、云服务、共享资源、破解版软件等共同组成了灰色软件供应链,而通过灰色软件供应链获取的软件极易被攻击者植入恶意代码,比如2012年初的汉化版Putty后门事件,因为非官方汉化后被植入后门木马导致大量系统管理员账号密码泄露引发重大安全威胁。

不仅灰色供应链中获取的软件极易被植入恶意代码,就连某些正规的下载站、应用市场,由于审核不严等因素也被攻击者植入过含有恶意代码的“正规”软件,比如WireX Android Botnet 污染 Google Play 应用市场事件。我们将所有这类针对用户获取软件产品的源头进行恶意代码植入的攻击统称为“捆绑下载”。

WireX Android Botnet

事件名称WireX Android Botnet 污染 Google Play 应用市场事件

披露时间2017年8月28日

事件描述2017年8月17日,名为WireX BotNet的僵尸网络通过伪装普通安卓应用的方式大量感染安卓设备并发动了较大规模的DDoS攻击,此举引起了部分CDN提供商的注意,此后来自Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru等组织联合对该事件进行分析,并于8月28日发布了该事件的安全报告。

直接威胁DDOS攻击

影响范围已发现大约有300种不同的移动应用程序分散在Google Play商店中,WireX引发的DDoS事件源自至少7万个独立IP地址,8月17日攻击数据的分析显示,来自100多个国家的设备感染了WireX BotNet。

参考链接

https://blog.cloudflare.com/the-wirex-botnet/?utm_content=buffer9e1c5&amp;utm_medium=social&amp;utm_source=twitter.com&amp;utm_campaign=buffer

http://bobao.360.cn/learning/detail/4323.html

http://blogs.360.cn/blog/analysis_of_wirex_botnet

隐魂

事件名称隐魂

披露时间2017年8月

事件描述2017年8月,360安全中心紧急预警了一款感染MBR(磁盘主引导记录)的“隐魂”木马,感染MBR(磁盘主引导记录)的“隐魂”木马捆绑在大量色情播放器的安装包中诱导下载安装,安装包安装后调用加载读取释放出来的JPG图片并解密图片后的shellcode代码并执行。

“隐魂”木马入侵系统后劫持浏览器主页并安插后门实现远程控制。短短两周内,“隐魂”木马的攻击量已达上百万次,是迄今传播速度最快的MBR木马。

直接威胁受感染计算机卡慢,浏览器主页劫持,远程控制计算机

影响范围两周内,“隐魂”木马的攻击量已达上百万次

参考链接http://bobao.360.cn/learning/detail/4238.html

假冒“老毛桃”

事件名称假冒“老毛桃”

披露时间2017年8月

事件描述2017年8月,360安全中心接到多起网友反馈,称电脑中所有浏览器的主页都被篡改,而且强制锁定为http://dh936.com/?00804推广页面。据360安全专家分析,这是一款假冒“老毛桃”PE盘制作工具的推广木马在恶意作祟。

下载该制作工具后,其捆绑的“净网管家”软件会释放木马驱动篡改首页。当发现中招者试图安装安全软件时,还会弹出“阻止安装”提示,诱导中招者停止安装。专家进一步分析后发现,该驱动还设置了不少保护措施逃避安全软件查杀,如禁止自身文件和注册表的浏览和读取等。

直接威胁捆绑“净网管家”软件,释放木马驱动篡改首页,阻止安全软件安装

影响范围针对老毛桃工具用户,感染量未知

参考链接http://bobao.360.cn/interref/detail/207.html

异鬼

事件名称异鬼Ⅱ

披露时间2017年7月

事件描述2017年7月被曝光的异鬼ⅡBootkit木马通过高速下载器传播。隐藏在正规软件甜椒刷机中,带有官方数字签名,导致大量安全厂商直接放行。木马的VBR感染模块、恶意功能模块均由云端下发,作者可任意下发功能模块到受害者电脑执行任意恶意行为,目前下发的主要是篡改浏览器主页、劫持导航网站、后台刷流量等。

直接威胁篡改浏览器主页、劫持导航网站、后台刷流量

影响范围针对甜椒刷机软件用户,通过国内几大知名下载站的高速下载器推广,影响百万台机器

参考链接http://www.CodeSec.Net/articles/web/141633.html

灵隐

事件名称灵隐

披露时间2017年6月

事件描述2017年6月,360安全卫士曝光了“灵隐”木马,该木马通过打包修改各种外挂,捆绑木马程序,再通过网盘和各类游戏论坛传播。

“灵隐”通过打包修改各种外挂,捆绑木马程序,再通过网盘和各类游戏论坛传播。执行劫持浏览器、删除安全软件、进行软件推广功能。


【安全报告】360威胁情报中心:软件供应链来源攻击分析报告

直接威胁劫持浏览器、删除安全软件、进行软件推广功能

影响范围针对游戏外挂使用者,360每天拦截该木马超10万次

参考链接http://www.CodeSec.Net/articles/system/143461.html

火球(Fireball)

事件名称火球(Fireball)

披露时间2017年6月

事件描述2017年6月1日,知名安全公司CheckPoint发布报告称,发现了由中国公司控制的流氓软件“火球(Fireball)”,因受害者众多,已经引起国外安全机构的重视。

“火球(Fireball)”实际上是利用了野马浏览器、Deal Wifi软件等8款流氓软件进行传播,这些流氓软件感染电脑后会将Chrome浏览器的首页、TAB页改为随机生成的搜索页,而用户无法更改。

不过戏剧性的是,微软表示其研究的结果表明“火球(Fireball)”感染率远低于Check Point指出的数字,影响可能被夸大了。微软的数据表明,拉丁美洲和非洲许多国家的感染率都比Check Point的数字更低。微软表示,Check Point根据访问搜索页面的次数估算出Fireball恶意软件感染率大小,而不是通过收集端点设备数据。

直接威胁劫持Chrome浏览器首页及新标签页

影响范围Mustang Brower、Deal WiFi、FVP Imageviewer、Soso Desktop、Holainput输入法、OZIP、Siviewer、Winzippers八款软件使用者,360威胁情报中心根据微软给出的感染分布图推算“火球(Fireball)”全球感染了大概千万左右的计算机系统。

参考链接

https://blog.checkpoint.com/2017/06/01/fireball-chinese-malware-250-million-infection/

https://blogs.technet.microsoft.com/mmpc/2017/06/22/understanding-the-true-size-of-fireball/

http://www.huorong.cn/info/149663131668.html

http://m.bobao.360.cn/news/detail/4186.html

流量收割者

事件名称流量收割者

披露时间2017年02月

事件描述2017年02月,安全研究人员曝光当用户从百度旗下的http://www.skycn.net/和 http://soft.hao123.com/这两个网站下载任何软件时,都会被植入恶意代码。该恶意代码进入电脑后,会通过加载驱动等各种手段防止被卸载,进而长期潜伏,并随时可以被“云端”远程操控,用来劫持导航站、电商网站、广告联盟等各种流量。

直接威胁导航站劫持、首页劫持、浏览器劫持、网盟广告劫持

影响范围

Viewing all articles
Browse latest Browse all 12749

Latest Images

Trending Articles





Latest Images