人們耳熟能詳的外設巨頭羅技(Logitech)創立於1981年,相比於這棟超級大廈“堅如磐石”的硬體生態,它家的軟體卻顯得有些“百密一疏”。近日,360安全大腦監測發現,不法黑客團伙已盯上這家科技巨頭,並利用其軟體中一個老版本模組的漏洞,精心構造了一個裹挾惡意程式碼的迷惑圈套,大肆傳播遠控木馬。
在黑客圈子,遠控木馬可以說十分常見,怎麼這次就擴散全網?關鍵就在於不法黑客團伙的千層套路。360安全大腦朔源分析發現,居心叵測的黑客團伙,將整個漏洞利用套件打包成極具誘惑性的壓縮包,例如白領必看的“客戶資料.rar”,再通過微信、QQ等廣撒全網。當不明真相的使用者解開壓縮包後,會看到四份檔案(如下圖),其中“身份證正面.com” 正是存在著漏洞的羅技軟體模組。一旦點開,黑客就能利用該漏洞潛進目標電腦,釋放並執行惡意程式碼。
當然,詭詐的黑客團伙為了騙到更多人,還施展了“花式取名”大法。360安全大腦監測顯示,包括“小企鵝.exe”、“執行我上線.exe”、“音效卡待遇合作表.exe”、“ios安卓上架價格.exe”、“QQ圖2019setup.com”、“支付訂單setup.com”、“充值單號setup.com”、“ICP備案截圖setup.com”在內的數十個“陷阱”檔案,實際均為包含漏洞的羅技軟體模組。
(部分偽裝誘導檔名稱)
至於遠控木馬究竟有何危害?今年3月,廈門警方就破獲了一起通過遠控木馬,實施遠端檢視,操縱目標電腦,進而盜取錢財的案件;5月,360安全大腦也攔截到偽裝成“個人信用申請表格”檔案的遠控木馬,不法分子通過控制目標電腦,挪用受害者鉅額遊戲幣並轉賣獲利;總的來說,利用遠控木馬,不法分子可任意竊取個人資訊、賬號密碼、機密檔案,盜取錢財、轉移數字貨幣等,進而威脅個人人身及財產安全。
先用羅技“緩衝區溢位”漏洞,再用“數字簽名”障眼法
羅技的程式程式碼,在處理配置資料過程中,存在一個經典“緩衝區溢位漏洞”,而這個漏洞其實是開發者沒有嚴格對待資料臨時緩衝區的長度造成的。如下圖所示,規定存放配置資料的緩衝區buf陣列的長度為520(十六進位制為0x208),然而在實際使用時並沒有保持一致,拷貝的目標資料最大長度反而增大到0x3ff,導致了越界拷貝情況的發生。
當用戶不小心點選並啟動漏洞程式LGT2.exe後,會讀取同目錄下的配置檔案ereg.ini。此時,黑客便在該配置檔案中構造了一個超長字串來進行漏洞利用。
黑客利用此漏洞時,構造超長配置資料覆蓋安裝在堆疊上的SHE異常處理鏈,從而劫持該漏洞程式跳轉執行shellcode。
而由於緩衝區大小有限,所以在成功執行shellcode後,會先讀取壓縮包中的檔案“X”,該檔案存放下一階段使用的shellcode,接著由“X”檔案中的shellcode2來讀取最後一個檔案“A”,最終載入執行包含在其中的遠端控制程式。
因為帶有騰訊官方簽名,這個“A”檔案神似正規騰訊官方程式,不過仔細分析後會發現這只不過是黑客使用的一個障眼法,真正的惡意程式碼就被加密存放在該騰訊程式的數字簽名後面,惡意程式碼試圖藉助騰訊簽名的“保護傘”躲避安全軟體查殺。
只要將附加在數字簽名後面的加密資料進行簡單的異或解密(解密key為0xAC),即可在記憶體中看到惡意的遠端控制模組,隨即該模組被shellcode2進一步載入執行,達到遠端控制目標使用者電腦的目的。
鑑於當前遠端木馬以及各類釣魚式欺詐感染攻擊態勢,360安全大腦給出如下建議:
2、注重企業人員的安全操作培養,提升人員的安全意識,不要輕易開啟來路不明的郵件附件、連結以及文件;
4、建立內網安全策略,防止攻擊發生時危害的進一步擴大。