背景

　　奇安信威脅情報(bào)中心在終端側(cè)運(yùn)營(yíng)過(guò)程中發(fā)現(xiàn)了一個(gè)規(guī)模巨大并且能夠劫持受害者 Google 搜索內(nèi)容和劫持電商鏈接等惡意行為的境外黑客團(tuán)伙，基于 PDNS 數(shù)據(jù)發(fā)現(xiàn)該團(tuán)伙從 2021 年開始活躍，并且惡意域名在 OPENDNS 的 top 1m 列表中，全球受影響的終端至少百萬(wàn)級(jí)別。

URL	活躍時(shí)間
overbridgenet.com/jsv2/offer_combo_v6	2021-05-10至2023-04-15
overbridgenet.com/jsv8/offer	2023-05-24至今

　　相關(guān)域名在國(guó)內(nèi)的訪問(wèn)量也很大：

　　我們?cè)跒g覽器中找到了一個(gè)惡意插件，并將其命名為“幽靈插件”。

　　攻擊者繞過(guò)了 Google CSP 機(jī)制，當(dāng)使用 Google 搜索時(shí)會(huì)向頁(yè)面中注入 js，注入前截圖如下：

　　注入后結(jié)果如下：

　　Google 搜索頁(yè)面加載了額外的 js，額外在頂部展示出攻擊者推送的結(jié)果，除了控制搜索結(jié)果外，受害者訪問(wèn)任意頁(yè)面時(shí)都會(huì)注入另一段 js，用來(lái)追蹤受害者訪問(wèn)習(xí)慣和軌跡，當(dāng)受害者訪問(wèn)電商類型的網(wǎng)站時(shí)惡意 js 會(huì)從 overbridgenet.com/jsv8/offer 獲取到一個(gè)新的域名用來(lái)劫持當(dāng)前頁(yè)面中的跳轉(zhuǎn)鏈接。

　　overbridgenet.com 解析的IP為 5.223.52.27，該 IP 下存在多個(gè)可疑域名，訪問(wèn)量都很大。

　　基于 VT 數(shù)據(jù)可以看到大量 URL，URL 的字段與上述拼接的字段一致，只是順序有所不同，所以這些 URL 是惡意 js 拼接后的劫持鏈接，觀察到被劫持的 URL 存在一些 web 登錄頁(yè)面。

　　目前劫持鏈接只有跳轉(zhuǎn)功能，劫持邏輯由攻擊者在云端控制，理論上可以定制化劫持特定的網(wǎng)站，甚至可以進(jìn)行中間人劫持獲取登錄頁(yè)面的賬密。

　　影響范圍

　　基于 PDNS 數(shù)據(jù)，我們對(duì)受到到惡意插件影響的國(guó)內(nèi)受害者進(jìn)行了統(tǒng)計(jì)：

　　當(dāng) Google 搜索結(jié)果被劫持時(shí)會(huì)訪問(wèn) svdred.com 和 xerogala.com，那么可以統(tǒng)計(jì)實(shí)際被成功劫持的國(guó)內(nèi)受害情況：

　　技術(shù)細(xì)節(jié)

　　如此大規(guī)模的受害程度，攻擊路徑可能不止一個(gè)，基于終端數(shù)據(jù)我們觀察到該惡意插件隱藏在破解安裝包中，如下：

　　攻擊者將類似這種偽造的安裝包上傳到一些破解軟件的下載站，等待受害者下載，受害者點(diǎn)擊后會(huì)在 C:UsersPublicdata 下釋放一系列惡意組件。

　　其中的一部分組件首先會(huì)被釋放到 C:WindowsSystem32 文件夾下。

　　之后由 mdwslp 完成這些組件從 WindowsSystem32 到 UsersPublicdata 的過(guò)渡。

　　釋放完畢后會(huì)執(zhí)行 sc create XblGame binPath=”C:UsersPublicdatamdwslp.exe” start= auto 命令，將 mdwslp 組件注冊(cè)為服務(wù)，然后啟動(dòng)該服務(wù)。

　　mdwslp.exe

　　該組件負(fù)責(zé)整個(gè)惡意 web 插件的初始化，首先會(huì)判斷相關(guān)組件是否存在來(lái)確定是否已初始化完成。

　　將 WindowsSystem32data1.zip 解壓到 Publicdataext。

　　該部分為惡意 web 插件的 js 代碼。

　　之后會(huì)循環(huán)檢測(cè)是否存在 Publicdatauptimecrx.exe，不存在就從 WindowsSystem32uptimecrx.dat 拷貝。

　　拷貝之后會(huì)使用 微軟官方簽名工具 signtool.exe 對(duì)其進(jìn)行簽名。

　　具體的簽名攻擊者自己創(chuàng)建的。

　　最后將 uptimecrx.exe 注冊(cè)為另一個(gè)服務(wù) XblGame2 并啟動(dòng)。

　　uptimecrx.exe 的簽名每 10 小時(shí)更新一次。

　　檢測(cè)標(biāo)志文件 Publicdataup1.dat 是否存在，如果存在則表示自身需要更新，退出循環(huán)，該組件的更新由 uptimecrx.exe 完成。

　　除此之外，該組件還會(huì)循環(huán)檢測(cè)惡意 DLL 是否注入到目標(biāo)進(jìn)程。

　　如果沒(méi)檢測(cè)到就會(huì)調(diào)用注入工具進(jìn)行注入。

　　該工具為之前釋放的 WindowsSystem32datax.dat，調(diào)用時(shí)會(huì)為其隨機(jī)設(shè)置一個(gè)新文件名并拷貝到 AppDataLocalTempxtdbf 文件夾下。

　　之后以 –install/–uploaddll 等參數(shù)啟動(dòng)該工具。

　　uptimecrx.exe

　　該組件用于更新和持久化 mdwslp.exe，循環(huán)檢測(cè) mdwslp.exe 是否存在，如果不存在則從 WindowsSystem32mi_nt_svc.dat 拷貝，并重新注冊(cè)服務(wù)并啟動(dòng)。

　　檢測(cè) mdwslp.exe 注冊(cè)的服務(wù) XblGame 是否已停止，如果停止則重新啟動(dòng)。

　　通過(guò)標(biāo)志文件 Publicdataup1.dat 檢測(cè) mdwslp.exe 是否需要更新，仍然通過(guò)拷貝 WindowsSystem32mi_nt_svc.dat 進(jìn)行更新并對(duì)其重新簽名，更新完畢后注冊(cè)并啟動(dòng)服務(wù)。

　　datax.dat

　　該組件為 DLL 注入工具，其主要功能為將惡意的 ntdb.dll 注入到目標(biāo)進(jìn)程中。

　　根據(jù)參數(shù)的不同，注入的目標(biāo)進(jìn)程如下所示：

　　–install：注入到 explorer 進(jìn)程；

　　–browser_chrome：注入到 chrome 進(jìn)程；

　　–browser_msedge：注入到 msedge 進(jìn)程；

　　–uploaddll：從 WindowsSystem32ntdb.dat 處獲取新的載荷 DLL，并重新簽名。

　　ntdb.dll

　　該組件用于加載惡意 web 插件，首先判斷自身是否在 explorer.exe、chrome.exe、msedge.exe進(jìn)程中，如果不是則結(jié)束運(yùn)行。

　　如果其在 chrome.exe 或 msedge.exe 中，hook 相關(guān) dll 中的 ChromeMain 函數(shù)。

　　以及 hook 相關(guān)事件函數(shù)。

　　如果在 explorer.exe 進(jìn)程中，則會(huì)以 –load-extension 等參數(shù)啟動(dòng)瀏覽器，用于加載惡意 web 插件。

　　惡意插件路徑指定為 UsersPublicdataext。

　　啟動(dòng)完畢后會(huì)將自身注入到瀏覽器進(jìn)程。

　　Ext（瀏覽器插件）

　　如果惡意插件加載成功，瀏覽器擴(kuò)展欄會(huì)顯示一個(gè)空白頁(yè)面。

　　詳細(xì)信息如下：

　　manifest.json

　　定義相關(guān) js 的作用范圍，service_worker.js 為后臺(tái)服務(wù)工作進(jìn)程：

　　content_script.js 會(huì)在 url 匹配到搜索引擎相關(guān)時(shí)被加載：

　　disabled-trusted-types.js 在任何時(shí)候被加載；

　　之后定義了一些雜項(xiàng)，包括版本信息，更新鏈接等。

　　content_script.js

　　獲取當(dāng)前 uuid 傳遞給 web_accessible_resource.js 并加載。

　　web_accessible_resource.js

　　首先進(jìn)行簡(jiǎn)單 url 檢測(cè)，檢測(cè)成功后會(huì)向 calnor.info 請(qǐng)求 js 并注入到當(dāng)前頁(yè)面。

　　根據(jù) manifest.json 中的規(guī)則，訪問(wèn) Google 搜索時(shí)會(huì)加載該 js，可以看到 calnor.info 返回的 js 已經(jīng)出現(xiàn)在網(wǎng)頁(yè)源碼中。

　　disabled-trusted-types.js

　　關(guān)閉瀏覽器的 XSS 防御策略。

　　service_worker.js

　　該 js 為后臺(tái)服務(wù)進(jìn)程，在擴(kuò)展被啟動(dòng)時(shí)運(yùn)行，首先會(huì)注冊(cè)一個(gè)安裝事件監(jiān)聽器，當(dāng)該擴(kuò)展被首次安裝時(shí)執(zhí)行。

　　首先從 klymos.info 獲取一個(gè) uuid：trackInstall。

　　注冊(cè)客戶端 ID，向 dash.zintrack.com 發(fā)送該事件的消息：sendApiRequest。該域名是 Google Analytics 的輕量級(jí)替代，攻擊者注冊(cè)了自己的 api key 用來(lái)統(tǒng)計(jì)受害者。

　　設(shè)置該擴(kuò)展被卸載時(shí)接收消息的域名 dash.zintrack.com：setUninstallURL。之后會(huì)設(shè)置一個(gè)定時(shí)器，每過(guò)一段時(shí)間進(jìn)行規(guī)則更新。

　　規(guī)則仍然從 klymos.info 獲取，并將獲取到的規(guī)則應(yīng)用到該擴(kuò)展的網(wǎng)絡(luò)請(qǐng)求攔截中。

　　獲取到的規(guī)則如下，其功能是對(duì)部分搜索網(wǎng)站的網(wǎng)絡(luò)請(qǐng)求中移除掉 content-security-policy、X-Xss-Protection 等安全策略。

　　注冊(cè)定時(shí)器 update-rc 用于獲取遠(yuǎn)程代碼。

　　fetchRemoteCode 用于從 infird.com 獲取 js 代碼。

　　注冊(cè)選項(xiàng)卡更新事件，每當(dāng)用戶創(chuàng)建了新的瀏覽器選項(xiàng)卡時(shí)，將獲取到的遠(yuǎn)程 js 代碼加載到當(dāng)前頁(yè)面，如果當(dāng)前頁(yè)面 url 在 blacklist 中則不加載。

　　當(dāng)用戶訪問(wèn)任何不在 blacklist 中的網(wǎng)頁(yè)時(shí)，該 js 被加載到網(wǎng)頁(yè)源碼中。

　　最后會(huì)生成一個(gè) page_view 事件，用于指示受害者已經(jīng)加載了 service_worker.js。

　　這些信息會(huì)被發(fā)送到 Google 的網(wǎng)絡(luò)分析服務(wù)網(wǎng)站 www.google-analytics.com，攻擊者在該網(wǎng)站注冊(cè)了自己的 API，可能是用于統(tǒng)計(jì)受害者。

　　remote code.js

　　該 js 是從 infird.com 獲取的遠(yuǎn)程 js 文件，會(huì)在用戶打開新網(wǎng)頁(yè)(新增選項(xiàng)卡)時(shí)加載，其惡意邏輯通過(guò)攻擊者設(shè)置的幾個(gè)限時(shí) cookie 進(jìn)行控制。

　　首先會(huì)對(duì)當(dāng)前頁(yè)面 url 進(jìn)行嚴(yán)格過(guò)濾，對(duì)于大部分的色情網(wǎng)站、社交媒體、搜索引擎等會(huì)停止執(zhí)行。

　　url 中如果存在以下字段也會(huì)停止執(zhí)行，可以看出攻擊者在避免高訪問(wèn)量的場(chǎng)景，可能是用于隱藏自身。

　　如果通過(guò)了過(guò)濾，會(huì)設(shè)置一個(gè)定時(shí)器，每 20000 ms 執(zhí)行相應(yīng)操作。

　　進(jìn)行初始化階段，檢測(cè)相應(yīng) cookie 項(xiàng)是否存在，如果存在則停止執(zhí)行并清除定時(shí)器。

　　其中 Lda_aKUr6BGRn 是用于攻擊者進(jìn)行重定向的網(wǎng)址，當(dāng)他為空時(shí)，會(huì)從 overbridgenet.com 獲取一個(gè)新網(wǎng)址進(jìn)行填充。

　　overbridgenet.com 會(huì)返回一個(gè) json 文件，其中 at 項(xiàng)用來(lái)填充 Lda_aKUr6BGRn，在實(shí)際調(diào)試中該頁(yè)面僅返回 {“s”:1,”n”:1} 格式的 json 文件，攻擊者可能會(huì)篩選目標(biāo)后才會(huì)在特定時(shí)間填充 at 項(xiàng)進(jìn)行攻擊。

　　如果 n = 1，perf_dv6Tr4n 項(xiàng)會(huì)被創(chuàng)建并填充為 1，json 中的 c 項(xiàng)為 cookie 過(guò)期時(shí)間，用于控制該 js 文件是否繼續(xù)執(zhí)行 (在初始化階段時(shí) perf_dv6Tr4n = 1 就返回)。

　　由于實(shí)際調(diào)試時(shí) json 文件沒(méi)有 c 項(xiàng)，該 cookie 不會(huì)過(guò)期。

　　如果 Lda_aKUr6BGRn 項(xiàng)被填充，則進(jìn)入下一階段過(guò)濾：

　　1、當(dāng)前 url 為指定電商網(wǎng)站且 Ac_aqK8DtrDL 為空。

　　執(zhí)行鏈接替換操作。

　　首先會(huì)創(chuàng)建一個(gè)點(diǎn)擊事件監(jiān)聽器，當(dāng)用戶在該頁(yè)面點(diǎn)擊了帶有指定標(biāo)簽的元素時(shí)，劫持用戶跳轉(zhuǎn)并將用戶重定向到攻擊者指定的鏈接。

　　新鏈接由 Lda_aKUr6BGRn 拼接得來(lái)，新鏈接可能用于攻擊者進(jìn)行釣魚。

　　2、當(dāng)前 url 不是電商網(wǎng)站且 Lda_aKUr6BGRn 不為空以及 Ac_aqK8DtrDL 為空。

　　將整個(gè)頁(yè)面劫持到攻擊者的鏈接，設(shè)置 Ac_aqK8DtrDL 為 1，Ac_aqK8DtrDS 用于計(jì)數(shù)。

　　3、Ac_aqK8DtrDL 不為空 Fm_kZf8ZQvmX 為空

　　創(chuàng)建一個(gè)新 iframe，將 src 項(xiàng)設(shè)置為攻擊者的鏈接，設(shè)置其樣式并將其插入到當(dāng)前頁(yè)面內(nèi)容中，最后設(shè)置 Fm_kZf8ZQvmX 為 1。

　　calnor.js

　　該 js 是從 calnor.info 處獲取的 js 代碼，用于攻擊者攔截相關(guān) manifest.json 規(guī)則中的網(wǎng)頁(yè)并將其注入。

　　其主要針對(duì) Google 等搜索引擎，攻擊者可以替換用戶搜索頁(yè)面的內(nèi)容，首先會(huì)檢測(cè)當(dāng)前頁(yè)面是否存在攻擊者設(shè)置過(guò)的標(biāo)簽 mdorkirgneorpowtn。

　　如果存在則向 svdred.com 發(fā)送相關(guān)標(biāo)簽數(shù)據(jù)，不存在則發(fā)送 global。

　　同樣的，檢測(cè)頁(yè)面是否包含另一些元素，并向 svdred.com 發(fā)送元素對(duì)應(yīng)數(shù)據(jù)，這些元素在正常的 Google 搜索頁(yè)面上并不存在，是由攻擊者進(jìn)行設(shè)置的，對(duì)其進(jìn)行檢測(cè)用于去除重復(fù)執(zhí)行。

　　對(duì)于該 js，執(zhí)行后會(huì)在當(dāng)前頁(yè)面插入元素 mdorkirgneorpowtn。

　　對(duì)于以上所有元素，檢測(cè)到之后會(huì)終止執(zhí)行，用于避免不同的組件互相影響。

　　通過(guò)檢測(cè)之后，首先設(shè)置 mdorkirgneorpowtn 值為 a=4001&u=0106-20250304-ORG。

　　攻擊者會(huì)避免在一些搜索模式中執(zhí)行該組件，如用戶搜索圖片和購(gòu)物等，僅根據(jù)搜索內(nèi)容區(qū)分并向 xerogala.com 發(fā)送不同類型的信息，然后終止執(zhí)行。

　　之后會(huì)向頁(yè)面 head 中添加一個(gè)名為 referrer 的 meta 元素。

　　之后進(jìn)入替換邏輯，首先獲取搜索內(nèi)容，創(chuàng)建一個(gè)新 style 元素并設(shè)置樣式。

　　根據(jù)獲取的搜索內(nèi)容拼接 url 請(qǐng)求，發(fā)送到 xerogala.com 并獲取返回?cái)?shù)據(jù)。

　　將返回?cái)?shù)據(jù)處理后，填充到元素 sadsfs 中，插入到當(dāng)前頁(yè)面。

　　其功能是在搜索頁(yè)面的開頭處插入攻擊者替換的搜索結(jié)果，如下是受害者進(jìn)行搜索后的效果，可以看到最開頭的幾個(gè)搜索結(jié)果被替換。

　　正常用戶的搜索結(jié)果中不包含最開始的內(nèi)容。

　　通過(guò)調(diào)試頁(yè)面可以看到攻擊者插入的內(nèi)容正是 sadsfs 元素，其大多數(shù)情況下是廣告內(nèi)容。

　　總結(jié)

　　目前，基于奇安信威脅情報(bào)中心的威脅情報(bào)數(shù)據(jù)的全線產(chǎn)品，包括奇安信威脅情報(bào)平臺(tái)（TIP）、天擎、天眼高級(jí)威脅檢測(cè)系統(tǒng)、奇安信NGSOC、奇安信態(tài)勢(shì)感知等，都已經(jīng)支持對(duì)此類攻擊的精確檢測(cè)。

　　IOC C2：

　　calnor.info klymos.info infird.com overbridgenet.com infirc.com xerogala.com svdred.com cachedclr.com MD5:

　　40210f065e82d06b364f56c9ab4efdcd a4aa475e2309f05ac83d8289b4604cbd

　　1c6271c9bd6281b06965ca780b292e65

　　ebee140bdb9f1f80597cdea66860e1b6