2023 年底,研究人员偶然发现了一个有趣的发现——一个名为 HotPage.exe 的安装文件。乍一看,这个应用程序似乎又是一个广告软件。然而,深入分析发现,在其无害的外表背后隐藏着一个功能强大的复杂恶意软件。
HotPage.exe 安装了一个能够将代码注入远程进程的驱动程序,以及两个拦截和修改浏览器网络流量的库。这使得恶意软件能够更改所请求网页的内容,将用户重定向到不同的网站,或在某些条件下打开新标签。
特别引起研究人员注意的是,该驱动程序使用 Microsoft 证书签名。根据签名,它是由中国公司湖北盾网网络科技有限公司开发的。缺乏有关该公司的任何信息只会激起专家的兴趣。
该计划被宣传为“网吧安全解决方案”,针对中文用户。据称,它旨在通过屏蔽广告和恶意网站来简化互联网使用。实际上,它的主要目标是将游戏广告注入用户的浏览器。
此内核组件无意中为其他威胁留下了后门。由于访问限制不当,任何进程都可以与驱动程序交互并利用其功能。
研究人员于 2024 年 3 月 18 日向微软报告了该问题。经过验证,微软安全响应中心 (MSRC) 确定该漏洞不再相关,因为有问题的驱动程序已于 2024 年 5 月 1 日从 Windows Server 目录中删除。
检查驱动程序的数字签名后,专家发现这家中国公司已经通过了微软的驱动程序代码签名验证流程,并获得了扩展验证 (EV) 证书。显然,作案者不遗余力地为其产品提供合法性。
进一步调查发现,该公司注册于2022年1月6日。根据官方记录,其经营范围包括技术开发、咨询和广告服务。主要股东是一家小公司,武汉易顺百顺文化传媒有限公司,专门从事广告和营销。
2022 年 4 月和 5 月,该公司提交了注册“盾牌网吧安全防御”商标的申请。2022 年 2 月 22 日创建了 dwadsafe[.]com 网站,但在调查时该网站无法访问。
在检查该程序的网站时,研究人员发现了一个有趣的矛盾。该产品被宣传为“网吧主动保护平台”,但许可协议中包含相互矛盾的信息。其中一项条款规定 DwAdsafe 没有拦截功能,不会影响其他程序。然而,另一项条款声称该程序具有广泛的控制功能,包括拦截、监控甚至数据删除。
对HotPage.exe安装程序的技术分析发现了以下特点:
-
该文件是用UPX加壳程序压缩的。
-
安装程序包含驱动程序的加密版本、用于浏览器进程注入的库以及三个 JSON 配置文件。
-
执行时,程序使用 CPUID 指令检查它是否在虚拟环境中运行。
-
该驱动程序保存在 C:WindowsShieldNetWorkBusiness 文件夹中,其名称为随机的 7 个字符,扩展名为 .sys。
-
创建服务来启动驱动程序,但没有自动启动机制。
-
安装程序通过其文件设备与驱动程序交互,使用以下 IOCTL 代码:
-
0x9C4013FC – 发送 32 位库以进行浏览器进程注入。
-
0x9C400FFC – 发送 64 位库以进行浏览器进程注入。
-
0x9C40173C – 发送 chromedll 配置。
-
0x9C400BFC – 发送更新的新表配置。
newtalbe 配置文件包含恶意软件运行的关键信息,包括:
-
用于收集统计数据的 URL 模式。
-
用于重定向用户的域列表。
-
用于更新游戏域列表和发送有关受感染计算机的信息的 API 端点。
-
应用重定向规则的模式列表。
驱动程序会创建两个线程:一个用于将库注入浏览器进程,另一个用于打开新标签页。它还会设置进程创建和图像加载通知的处理程序来监控新进程。
注入的库会拦截 SSL_read 和 SSL_write 函数,从而允许操纵解密的 TLS 流量。加载的浏览器模块中发现的特殊模式可用于此目的。
该库还拦截 NtDeviceIoControlFile 函数来处理特定的 IOCTL 代码。这样就可以取消 DNS 请求,并根据配置文件中的规则修改传出和传入的 HTTP 请求。
因此,攻击者以增强网吧安全性的程序为幌子,创建了能够操纵网络流量和注入广告的复杂恶意软件。此案表明了现代网络威胁的复杂性,并强调了彻底分析看似无害的应用程序的重要性。
原文始发于微信公众号(独眼情报):HotPage.exe 被揭穿:搞这种高级威胁针对自己人是吧?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论