不久前，Petya勒索病毒變種在烏克蘭爆發(fā)，并蔓延到歐洲多個(gè)國(guó)家的大型企業(yè)。病毒攻擊的根源是劫持了烏克蘭專用會(huì)計(jì)軟件me-doc的升級(jí)程序，使用戶更新軟件時(shí)感染病毒，從而對(duì)眾多企業(yè)的系統(tǒng)和數(shù)據(jù)造成慘重?fù)p失。
劫持軟件升級(jí)“投毒”并不是新鮮的攻擊手法，國(guó)內(nèi)也屢有發(fā)生。但就在Petya勒索病毒變種轟動(dòng)全球后短短數(shù)天時(shí)間內(nèi)，山東、山西、福建、浙江等多省的軟件升級(jí)劫持達(dá)到空前規(guī)模，360安全衛(wèi)士對(duì)此類攻擊的單日攔截量突破40萬次！
盡管國(guó)內(nèi)的軟件升級(jí)劫持目前僅僅被利用流氓推廣軟件，但是大規(guī)模的網(wǎng)絡(luò)劫持、大量缺乏安全升級(jí)機(jī)制的軟件，如果再加上“商業(yè)模式”非常成熟的勒索病毒，無疑會(huì)造成災(zāi)難性后果。
事件還原
近期有多款軟件用戶密集反映360“誤報(bào)了軟件的升級(jí)程序”，但事實(shí)上，這些軟件的升級(jí)程序已經(jīng)被不法分子惡意替換。
下圖就是一例愛奇藝客戶端升級(jí)程序被劫持的下載過程：可以看到服務(wù)器返回了302跳轉(zhuǎn)，把下載地址指向了一個(gè)并不屬于愛奇藝的CDN服務(wù)器地址，導(dǎo)致下載回來的安裝包變?yōu)楸徊环ǚ肿哟鄹倪^的推廣程序。

圖1 遭302跳轉(zhuǎn)劫持的下載鏈接
此次被劫持升級(jí)程序的流行軟件遠(yuǎn)不止愛奇藝一家，下圖就是一些由于網(wǎng)絡(luò)劫持而出現(xiàn)的“假軟件”。

圖2被網(wǎng)絡(luò)劫持替換的“假軟件”
以下，我們以偽造的百度網(wǎng)盤安裝程序“BaiduNetdisk_5.5.4.exe”為例分析一下惡意程序的行為。
與正常的安裝程序相比，該程序不具備合法的數(shù)字簽名，并且體積較大。

圖3被篡改的偽裝安裝程序

圖4正常的安裝程序
通過對(duì)比可以發(fā)現(xiàn)，兩者在內(nèi)容上還是有較大差別。兩者只有8.7%的函數(shù)內(nèi)容相同。

圖5偽裝安裝程序和正常安裝程序函數(shù)對(duì)比
程序最初執(zhí)行時(shí)會(huì)從從資源段中釋放一個(gè)PE文件并執(zhí)行，該文件就是程序所偽裝的正常安裝包。因此，該偽裝程序是在運(yùn)行正常安裝包的同時(shí)靜默安裝其他推廣程序。在正常安裝包運(yùn)行時(shí)，本程序會(huì)讀取bjftzt.cdn.powercdn.com站點(diǎn)的子目錄下的一個(gè)dat文件的內(nèi)容，dat文件路徑根據(jù)安裝程序不同而不同，本文分析的程序“BaiduNetdisk_5.5.4.exe”所讀取的是bjftzt.cdn.powercdn.com/upc/20170329/2A7BF0576BE7380A30B8669182226FBD.dat。程序請(qǐng)求數(shù)據(jù)包內(nèi)容如下圖所示：

圖6 請(qǐng)求數(shù)據(jù)包內(nèi)容
所讀取的dat文件的內(nèi)容如下圖所示：

     span style="font-size: 9pt;">圖7 dat文件內(nèi)容span>
dat文件中的內(nèi)容經(jīng)過base64+DES加密。DES密鑰經(jīng)過簡(jiǎn)單加密后硬編碼在程序中，下圖展示了DES密鑰的解密過程：

圖8 DES密鑰解密過程
解密后得到的DES密鑰為“eh9ji8pf”。經(jīng)分析發(fā)現(xiàn)多款偽裝程序使用同一個(gè)DES密鑰。
之后程序?qū)�dat文件的內(nèi)容進(jìn)行base64+DES解密，解密函數(shù)如下圖所示：

圖9 解密函數(shù)
解密后得到的文件內(nèi)容如下圖所示。不難看出，文件內(nèi)容為一個(gè)配置列表，列表中包括多個(gè)需要推廣的應(yīng)用程序名稱、應(yīng)用程序下載鏈接、程序啟動(dòng)參數(shù)、卸載對(duì)應(yīng)的注冊(cè)表項(xiàng)等信息：

圖10 解密后的dat文件內(nèi)容
之后程序會(huì)從配置列表中選取一個(gè)推廣程序的下載鏈接，下載推廣程序并安裝在受害者電腦上：

圖11 下載推廣程序的請(qǐng)求包內(nèi)容
而以上流氓推廣行為完成后，安裝包會(huì)回歸到原始的正常安裝流程，以此來掩人耳目。
根據(jù)360安全衛(wèi)士的持續(xù)監(jiān)控和攔截，該劫持行為從今年3月底就已經(jīng)開始出現(xiàn)，360一直在持續(xù)跟進(jìn)查殺，近日來則突然出現(xiàn)了爆發(fā)趨勢(shì)，為此360安全衛(wèi)士官方微博公開發(fā)布了警報(bào)。7月4日，也就是在360發(fā)布軟件升級(jí)劫持攻擊警報(bào)后，此類攻擊行為出現(xiàn)了一定程度下降。

圖12 網(wǎng)絡(luò)劫持量走勢(shì)
根據(jù)已有數(shù)據(jù)統(tǒng)計(jì)顯示，受到此次劫持事件影響的用戶已經(jīng)超過百萬。而這些被劫持的用戶絕大多數(shù)來自于山東地區(qū)。另外，山西、福建、浙江、新疆、河南等地也有一定規(guī)模爆發(fā)。

圖13 被劫持用戶地域分布
在此提醒各大軟件廠商，軟件更新盡量采用https加密傳輸?shù)姆绞竭M(jìn)行升級(jí)，以防被網(wǎng)絡(luò)劫持惡意利用。對(duì)于普通互聯(lián)網(wǎng)用戶，360安全衛(wèi)士“主動(dòng)防御”能夠攔截并查殺利用軟件升級(jí)投放到用戶電腦里的惡意程序，建議用戶更新軟件時(shí)開啟安全防護(hù)。

圖14 360安全衛(wèi)士攔截軟件升級(jí)劫持“投毒”

圖15：VT檢測(cè)結(jié)果，國(guó)內(nèi)僅360查殺此次軟件升級(jí)劫持攻擊樣本