内网通杀!腾讯QQPC端可被利用植入后门,新版未测,应尽快更新

admin 2022年7月12日08:41:11安全闲碎评论8 views1740字阅读5分48秒阅读模式

零基础黑客教程,黑客圈新闻,安全面试经验

尽在 # 暗网黑客教程 #




火绒发现了一起利用腾讯QQ升级漏洞植入后门病毒的攻击事件,攻击者可利用该漏洞下发任意恶意代码。


漏洞影响:

该漏洞曾在2015年就被公开披露过,之后腾讯对该漏洞进行修复并增加了校验逻辑。

但截止到19年8月10日,QQ此处升级逻辑仍存在逻辑漏洞。(包括TIM、QQ、QQ轻聊版、QQ国际版) 


上一个漏洞披露的利用过程:


QQ在登录成功后10分钟左右,会主动向服务器POST投递某个模块要求更新,URL如下:

    

http://updatecenter.qq.com/queryselfupdate

内网通杀!腾讯QQPC端可被利用植入后门,新版未测,应尽快更新

抓包及插入TCP会话后截图

    

回应包为一个包含特殊文件头的xml文档,该文档描述了要更新的url地址(zip压缩包),hash值,以及size。


这个回应包的前两个字节表示了文件头的大小,去除文件头后,就是标准的xml文档。

  

攻击者如果劫持了这个TCP会话,并伪造xml文档,插入TCP会话,可以造成任意exe文件被下载并执行的后果。

 

QQ没有对此文件进行任何校验,仅仅通过xml的描述来校验是否合法,未对exe文件本身进行数字签名校验等措施。

内网通杀!腾讯QQPC端可被利用植入后门,新版未测,应尽快更新

伪造的xml文档)  


在这个xml文档中,url字段表示zip包的下载地址(必须为zip包,包中需要有名为txupd.exe的文件)

内网通杀!腾讯QQPC端可被利用植入后门,新版未测,应尽快更新

MD5字段为hash值,size字段为大小(字节)

符合上述条件,下载后自动解包,自动运行,想怎么玩就怎么玩…



火绒发布的病毒分析:

1、QQ升级程序在发送升级请求后,会下载执行名为“txudp.exe”的病毒程序。

    “txudp.exe”程序会向http://updatecenter.qq.com/queryselfupdate(IP”61.129.7.17“,百度检索该IP是上海市深圳市腾讯计算机系统有限公司电信节点)服务器POST数据请求更新。

内网通杀!腾讯QQPC端可被利用植入后门,新版未测,应尽快更新


2、POST的数据没有问题,但是在网络数据中可以看到一个伪造的回应数据包,该回应包数据包含一个二进制头,在二进制头之后依次是:更新的ZIP包下载地址,ZIP包的MD5校验值,ZIP包大小。


数据如下:

内网通杀!腾讯QQPC端可被利用植入后门,新版未测,应尽快更新


3、图中URL www.baidu.com/abcload/qq.zip (IP:180.101.49.11)下载的是病毒压缩包“qq.zip”,该压缩包会被下载到用户计算机临时目录,之后解压运行名为“txudp.exe”的病毒程序。


    

需要说明的是,该URL“www.baidu.com/abcload/qq.zip ”事实上是无效地址,但在被劫持的现场中,对该地址的HTTP GET请求会收到相应的响应包,并且会下载到包含病毒的qq.zip压缩包。


QQ升级模块分析:

    

升级程序主要逻辑是:首先将本地QQ软件信息发送到QQ升级服务器,之后根据服务器返回的XML数据下载更新txupd.exe。

    

在早期版本QQ升级程序中,由于下发升级XML数据校验代码中存在漏洞,在2015年版本中已经进行了相应修补,但修复后的升级程序中依然存在逻辑漏洞。    

    

QQ升级程序中仅有一处升级内容校验,校验完成后,会下载指定网址中的压缩包,之后验证压缩包MD5,解压执行压缩包中的txupd.exe。

相关代码,如下图所示:


内网通杀!腾讯QQPC端可被利用植入后门,新版未测,应尽快更新


恶意病毒分析:

解压包qq.zip中存放有病毒程序“txupd.exe”,图标是MFC默认图标,和腾讯升级程序图标有明显不同,经火绒工程师分析,该病毒为后门病毒,会收集用户计算机名称、账户名称、处理器信息、系统版本、MAC地址等信息上传到C&C服务器作为主机标识,且具备抓取屏幕截图、执行远程命令等功能。


警醒:前后事件对比,利用方式几近相同;此次事件再度发生,并且在排除本地劫持的可能后(路由器、LSP、驱动劫持等等),意味着漏洞存在并至少存在四年。

(为防范攻击或中间人劫持,当前笔者最新版QQ的升级程序更新日志中虽然未发现相关的描述补丁,但各位可以尽快更新到最新版本)





黑客教程~ 课件 靶场 ~ 限!时!免费!送!

长按识别二维码,即可限时免费报名课程。


内网通杀!腾讯QQPC端可被利用植入后门,新版未测,应尽快更新




点击在看~好文大家给一起看!👇



原文始发于微信公众号(白帽子左一):内网通杀!腾讯QQPC端可被利用植入后门,新版未测,应尽快更新

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月12日08:41:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  内网通杀!腾讯QQPC端可被利用植入后门,新版未测,应尽快更新 http://cn-sec.com/archives/957462.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: