Adrozek的详细技术分析

admin 2020年12月29日12:11:50评论97 views字数 4493阅读14分58秒阅读模式

Adrozek的详细技术分析

如果你的浏览器在浏览页面经常出现一些“异常”的广告,那么很可能是电脑无意中下载了恶意软件。最近一个名为Adrozek的新恶意软件大肆感染用户的设备,然后修改浏览器及其设置,目的是偷偷的在搜索结果页面中插入广告。

Adrozek至少从2020年5月就开始活跃,并在今年8月达到峰值,当时每天控制着3万多个用户的浏览器。

Adrozek的详细技术分析
攻击过程

Adrozek会添加浏览器扩展,针对每个目标浏览器修改特定的DLL,并更改浏览器设置以将其他未经授权的广告插入网页,恶意广告通常是夹杂在合法的广告之中,其最终目的是使用户在搜索某些关键字时无意中点击了这些插入了恶意软件的广告,从而导致了相关页面。

Adrozek的详细技术分析

运行Adrozek的计算机上的搜索结果页面

微软的研究人员跟踪了159个独立的域名,每个域平均托管17300个独立的URL,这些URL依次平均托管了15300个以上独特的多形态恶意软件样本。总体而言,从2020年5月至2020年9月,研究人员记录了全球数十万次Adrozek恶意软件的遭遇,其中主要集中在欧洲、南亚和东南亚。

Adrozek的详细技术分析

2020年5月至2020年9月攻击的地理分布

Adrozek的详细技术分析
传播途径

通过直接下载将Adrozek恶意软件安装在设备上,在研究人员对2020年5月至2020年9月的Adrozek活动的跟踪中,研究人员看到159个独立域用于传播数十万个独立的恶意软件样本。

尽管许多域托管了成千上万个URL,但有几个域拥有超过100000个独立URL,其中一个托管了将近25万个URL,庞大的基础架构反映出攻击者发动这次攻击的决心。

Adrozek的详细技术分析

URL数量和Adrozek域上托管的文件数量(至少100个文件)

传播基础架构也动态变化,一些域仅使用了一天,而其他域则使用了更长的时间(长达120天)。有趣的是,研究人员看到一些域传播了干净的文件,例如Process Explorer,这可能是攻击者试图提高他们的域和URL的信誉并逃避基于网络的保护尝试。

Adrozek的详细技术分析
安装

攻击者使用这个庞大的基础结构来传播数十万个独特的Adrozek安装程序样本,这些文件中的每个文件都被高度模糊,并使用遵循以下格式的独立文件名:setup_

Adrozek的详细技术分析

Adrozek攻击链

运行时,安装程序会将带有随机文件名的.exe文件放入%temp%文件夹中。此文件使用一个使它看起来像合法的音频相关软件的文件名将主要有效内容放入Program Files文件夹中。研究人员已经观察到该恶意软件使用了各种名称,例如Audiolava.exe,QuickAudio.exe和converter.exe。该恶意软件的安装方式与通常的程序相同,可以通过“设置”>“应用和功能”进行访问,并注册为具有相同名称的服务。

Adrozek的详细技术分析

作为程序安装的Adrozek,可以通过“应用程序和功能”设置进行访问

Adrozek的详细技术分析
修改浏览器组件

一旦安装完毕,Adrozek就会对浏览器的设置和组件进行多次更改,这些变化允许恶意软件在搜索引擎结果页面中插入恶意广告。

Adrozek的详细技术分析
扩展

恶意软件对某些浏览器扩展进行更改,在Google Chrome浏览器上,该恶意软件通常会修改“Chrome Media Router”(浏览器的默认扩展程序之一),但研究人员发现它使用了不同的扩展程序。

基于Chromium的浏览器上的每个扩展都有一个独立的32个字符的ID,用户可以使用该ID在计算机上或Chrome网上应用店中找到该扩展。在Microsoft Edge和Yandex Browser上,它使用合法扩展名(例如“Radioplayer”)伪装成合法。由于很少有大多数扩展已安装在设备上,因此它将使用此扩展ID创建一个新文件夹,并将恶意组件存储在此文件夹中。在Firefox上,它将带有全局唯一标识符(GUID)的文件夹附加到浏览器扩展。总之,恶意软件为每个浏览器使用的路径和扩展名如下:

Adrozek的详细技术分析

尽管针对每个浏览器使用了不同的扩展名,但该恶意软件仍向这些扩展名添加了相同的恶意脚本。在某些情况下,恶意软件会通过在目标扩展名的文件路径中添加七个JavaScript文件和一个manifest.json文件来修改默认扩展名。在其他情况下,它将使用相同的恶意组件创建一个新文件夹。

Adrozek的详细技术分析

添加到目标扩展名的文件路径中的JavaScript和JSON文件

这些恶意脚本连接到攻击者的服务器以获取其他脚本,这些脚本负责将广告注入搜索结果。在扩展程序的脚本中指定了远程服务器的域名。恶意软件还将有关设备的信息发送到所述远程服务器。

Adrozek的详细技术分析

其他下载的脚本

Adrozek的详细技术分析
浏览器DLL

该恶意软件还会篡改某些浏览器DLL,例如,在Microsoft Edge上,它修改MsEdge.dll以关闭对检测安全首选项文件中的任何更改至关重要的安全控件。

Adrozek的详细技术分析

比较原始和被篡改的MsEdge.dll

此技术不仅会影响Microsoft Edge,还会影响其他基于Chromium的浏览器。这些浏览器在“首选项”文件中存储用户设置和首选项,例如主页和默认搜索引擎。对于这四个目标浏览器,它都会修改相关的DLL:

Adrozek的详细技术分析

浏览器安全设置

浏览器具有可防止恶意软件篡改的安全设置,例如,首选项文件包含敏感数据和安全设置。基于chromium的浏览器通过签名和对多个首选项的验证来检测对这些设置的任何未经授权的修改,这些首选项以及配置参数存储在JSON文件名“安全首选项”中。

安全首选项文件的结构与首选项文件相似,除了前者为文件中的每个条目添加基于散列的消息认证代码(HMAC)。该文件还包含一个名为super_mac的密钥,该密钥可验证所有HMAC的完整性。当浏览器启动时,它将通过计算并与某些JSON节点的HMAC SHA-256进行比较来验证HMAC值和super_mac密钥。如果发现不匹配的值,浏览器会将相关的偏好设置重置为其默认值。

在过去,浏览器修改器会像浏览器一样计算哈希值并相应地更新安全首选项。Adrozek则更进一步,修补了启动完整性检查的函数。双字节补丁取消了完整性检查,这可能使浏览器更容易遭到劫持或篡改。

Adrozek的详细技术分析

安全首选项文件中功能的两字节补丁程序,用于启动完整性检查

禁用完整性检查后,Adrozek继续修改安全设置。在Google Chrome或Microsoft Edge上,恶意软件会修改安全首选项文件中的以下条目,以添加权限,使恶意扩展可以更好地控制Chrome API:

Adrozek的详细技术分析

下面的截图显示了添加到安全首选项文件的权限:

Adrozek的详细技术分析

添加到“安全首选项”文件中的权限

在Mozilla Firefox上,Adrozek修改了以下安全设置:

Adrozek的详细技术分析浏览器更新

为了防止浏览器更新到最新版本,Adrozek添加了一个策略来关闭更新,最新版本可能会恢复修改过的设置和组件。

Adrozek的详细技术分析

添加了关闭更新的策略

Adrozek的详细技术分析
持久性攻击

除了修改浏览器设置和组件之外,Adrozek还更改了一些系统设置,以对受感染设备进行更多控制。它将其配置参数存储在注册表项HKEY_LOCAL_MACHINESOFTWAREWow6432Node

Adrozek的详细技术分析

具有启动主要有效载荷的命令行参数的注册表项

为了保持持久性,恶意软件创建了一个名为“主要服务”的服务。

Adrozek的详细技术分析

为维护持久性而创建的服务

Adrozek的详细技术分析
广告注入

篡改了多个浏览器组件和设置之后,该恶意软件即可在受影响的浏览器上的搜索结果中注入广告,广告的注入是通过从远程服务器下载的恶意脚本执行的。

根据搜索关键字,脚本会将相关广告添加到合法广告和搜索结果的顶部。插入的广告数量和它们指向的网站有所不同。虽然研究人员还没有看到这些广告指向恶意软件托管和其他恶意网站,但攻击者大概可以随时进行更改。但是,Adrozek攻击者的操作方式与其他浏览器修改器的操作方式相同,即通过附属广告计划赚取收入,这些计划为某些网站的推荐流量付费。

Adrozek的详细技术分析

受影响的计算机和运行Adrozek的计算机上的搜索结果页面的比较

Adrozek的详细技术分析
凭证盗窃

在Mozilla Firefox上,攻击者对Adrozek进行了进一步的开发。它最大限度地利用它的立足点进行凭证盗窃,它会下载另一个随机命名的.exe文件,该文件收集设备信息和当前活动的用户名。然后,它将此信息发送给攻击者。

Adrozek的详细技术分析

写入%temp%文件夹的其他可执行文件

然后,它开始查找特定文件,包括login.json。在Mozilla Firefox上,该文件位于%appdata% Roaming Mozilla Firefox Profiles < profile >logins.json,以加密形式和浏览历史记录存储用户凭据。

Adrozek的详细技术分析

包含被盗凭证的JSON文件

该恶意软件会寻找特定的关键字(例如,encryptedUsername和cryptedPassword)来查找加密的数据。然后,它使用Firefox库中的函数PK11SDR_Decrypt()解密数据,并将其发送给攻击者。

有了这项附加功能,Adrozek便将自己与其他浏览器修改器区分开来,并证明不存在低优先级或非紧急威胁之类的事情。首先,最重要的是防止各种各样的威胁获得访问权限。

Adrozek的详细技术分析
如何防御复杂的浏览器修改器?

对Adrozek的研究表明,甚至那些被认为不是紧急或严重的威胁也越来越复杂。尽管该恶意软件的主要目标是注入广告并将流量引至某些网站,但攻击链涉及复杂的行为,使攻击者可以在设备上获得强大的攻击立足点。凭证盗窃行为的增加表明,攻击者可以扩大目标,以最大限度地利用他们能够获得的访问权限。

这些复杂的行为以及该活动使用多态恶意软件的事实要求对保护措施进行侧重于识别和检测恶意行为。Windows 10上的内置端点保护解决方案Microsoft Defender Antivirus使用基于行为的,基于机器学习的检测来阻止Adrozek。

建议在设备上发现此威胁的个人用户重新安装其浏览器,考虑到用于在网络上传播此攻击的庞大基础结构,用户还应进行自我教育,以防止恶意软件感染以及从不受信任的来源下载和安装软件以及点击可疑网站上的广告或链接的风险。用户还应该利用URL筛选解决方案,例如Microsoft Edge上的Microsoft Defender SmartScreen。配置安全软件以自动下载和安装更新,以及运行最新版本的操作系统和应用程序以及部署最新的安全更新,有助于使终端免受威胁。

对于企业而言,防御者应设法减少此类攻击的攻击面。应用程序控制允许组织强制使用仅授权的应用程序和服务。像Microsoft Edge这样的企业级浏览器提供了附加的安全功能,例如条件访问和应用程序保护,以防御浏览器上的威胁。

对于企业来说,深入了解终端上的恶意行为以及与来自其他域(如云应用,电子邮件和数据以及身份)的威胁数据关联的能力也很重要。Microsoft 365 Defender提供跨域的协调保护,并提供丰富的调查工具,使防御者能够响应攻击。

参考及来源:https://www.microsoft.com/security/blog/2020/12/10/widespread-malware-campaign-seeks-to-silently-inject-ads-into-search-results-affects-multiple-browsers/

Adrozek的详细技术分析

Adrozek的详细技术分析

本文始发于微信公众号(嘶吼专业版):Adrozek的详细技术分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年12月29日12:11:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Adrozek的详细技术分析https://cn-sec.com/archives/224291.html

发表评论

匿名网友 填写信息