“暗流II”再次席捲:多玩旗下“遊戲盒子”疑遭供應鏈攻擊
一、事件概述
“暗流”家族作為國內活躍殭屍網路中的佼佼者,專注於流量暗刷攻擊,曾經在國內某知名軟體公司的“正規”外衣保護下寄生藏身多年,毒霸安全團隊於2018年10月底曾率先對其進行挖掘披露,其幕後黑產團伙顯然沒有輕易收手,所謂“百足之蟲,死而不僵”,近日毒霸“捕風”威脅感知系統再次監控到“暗流”家族新變種的活動痕跡。
通過溯源分析,我們發現本次“暗流Ⅱ”家族通過多玩公司旗下的“遊戲盒子”客戶端升級渠道進行傳播感染,其啟動宿主程序的數字簽名為“廣州玩盒科技有限公司”。“遊戲盒子”作為該公司旗下知名的遊戲輔助軟體,包含“英雄聯盟盒子”、“DNF盒子”、“坦克世界盒子”等多款輔助客戶端,從監控資料看無一倖免,所有產品升級渠道均被植入“暗流Ⅱ”木馬家族。除升級渠道和數字簽名等強關聯證據外,暫時未發現“暗流Ⅱ”木馬家族與“多玩遊戲”存在直接操縱和利益關聯的線索,本次病毒傳播事件究竟是廠商內部操作還是外部黑產攻擊尚無法給出定論,因此我們將本次安全事件暫定性為“疑似軟體供應鏈攻擊”。
從我們“捕風”系統的回溯資料看,本次“暗流Ⅱ”病毒傳播活動最早於2019年1月17號開始小範圍測試,隨後擴充套件到各遊戲盒子客戶端升級通道,影響範圍迅速擴大,預估全網感染使用者在百萬級別。本次“暗流Ⅱ”病毒傳播活動作為春節後監控到的首例高危安全事件,我們已第一時間啟動安全應急處置流程,目前正在與廠商積極聯絡以通報相關細節,更多結論請等待“多玩遊戲”官方調查回覆。
二、技術分析
1. 升級渠道汙染
本次“暗流Ⅱ”暗刷木馬家族的母體通過“多玩”旗下游戲盒子客戶端升級下發安裝,從資料包監控分析看,服務端的升級配置檔案均被汙染注入,核心模組為“UpdateServer.exe”,執行後註冊為系統服務啟動項,負責後續雲控模組的載入;另外空殼程式“Notify.exe”用於作為被注入暗刷模組的宿主程序。以上檔案的數字簽名均為多玩遊戲“廣州玩盒科技有限公司”。
2. 啟動雲控外掛
核心模組“UpdateServer.exe”自注冊為系統服務啟動後,首先對當前系統環境進行檢查,防止虛擬機器執行、抓包檢測或除錯分析。隨後檢測更新目錄下的核心檔案:”UpData.db” 、”Notify.exe”、”info.db”。解密(RC4+ZLib)其中的“UpData.db”模組並通過記憶體載入,呼叫其匯出函式“update_init”。
“UpData.db”模組解壓出的模組原始檔名為“common.dll”,作為“暗流Ⅱ”變種的核心雲控模組,開啟迴圈執行緒,負責進行環境檢測、雲控請求以及工作外掛Loader的注入啟動等工作,其中雲控請求包主要包括兩類,一類是更新雲控伺服器資訊,另一類是獲取外掛執行引數資訊,例如暗刷URL配置等。工作外掛Loader就是“info.db”檔案,它解密後被注入到掛起建立的空殼程序“Notify.exe”中,通過命令列引數傳遞父程序中配置資訊的記憶體地址,方便後續外掛讀取解析。
3. 啟動暗刷外掛
“info.db”工作外掛loader被注入執行以後,首先通過命令列引數獲取父程序記憶體中儲存的引數配置資訊,校驗完畢後開啟工作執行緒,聯網更新獲取真正的功能外掛並進行記憶體反射載入,外掛模組內容被加密快取到“user.db”檔案中。暗刷外掛的功能匯出介面為“FuncA”與“FuncB”,其中“FuncA”負責解密引數XML配置資訊,“FuncB”根據引數配置執行暗刷任務。
外掛暗刷功能支援比較完善,靈活性較高,與之前“暗流”家族報告中披露的外掛程式碼基本一致,並且加強了針對安全軟體、流量監控、遊戲等程序檢測規避策略。暗刷攻擊目標網站也非常繁雜,涉及視訊、汽車、美妝、電商、新聞、移動等多個型別廠商,可參考之前的披露報告,本篇不再贅述。
三、IOC附錄