Home Sign Up Sign In
KomeijiSatori

Everything 更新服务疑被劫持

  •  9      
  •   KomeijiSatori · Sep 7, 2022 · 12901 views
    This topic created in 1359 days ago, the information mentioned may be changed or developed.

    坐标:广东湛江联通

    Everything 下载途径来源于官网

    火绒剑记录 https://pastes.dev/kcGpECGygk

    telegram-cloud-photo-size-5-6106990359138645154-y.jpg

    直接请求 http://www.voidtools.com/downloads 这个地址有概率直接返回一个 EXE 文件, 同时

    http://www.voidtools.com/everything/update.ini 这个地址中的 minor 版本号是 6 (在腾讯云 VPS 上测试返回是 4 ) 并且在本地网络环境下请求时 server 字段是 Server: Microsoft-IIS/5.0

    telegram-cloud-photo-size-5-6109189322264654533-y.jpg

    telegram-cloud-photo-size-5-6109189322264654531-y.jpg

    在 VPS 上测试返回的是 LiteSpeed

    image.png

    目前观察到运行 EXE 之后会持续与 116.251.65.100:4226 这个地址进行 UDP 通讯

    主要行为:

    • 扫描硬盘
    • 访问注册表
    • 快速创建和删除大量临时文件 文件样本
    • UDP 通讯 发送包内容全为 0x00 ,但是包长度不固定

    telegram-cloud-document-5-6109349734541953003.jpg

    EXE 文件样本: https://drive.google.com/file/d/1F7VrK7GR5TlA4DtCjE5780XCqOdmaseJ/view?usp=sharing

    Supplement 1  ·  Sep 8, 2022
    TCP 抓包结果 https://drive.google.com/file/d/1NNOe55eZZfHLF1B7afKxq4G2OO5S3b7H/view?usp=sharing
    Supplement 2  ·  Sep 8, 2022
    目前已无法复现
  • udp
  • Server
  • exe
  • 文件
    48 replies    2023-06-14 21:46:59 +08:00
    itechify
        1
    itechify  
    PRO
       Sep 7, 2022
    为啥不是 https ?
    KomeijiSatori
        2
    KomeijiSatori  
    OP
       Sep 7, 2022
    @oneisall8955 不知道,点击 Everything - 帮助 - 检查更新, 通讯的地址就是这个
    iBugOne
        3
    iBugOne  
       Sep 7, 2022
    上面那个 EXE 文件在 VirusTotal 上的结果:
    https://www.virustotal.com/gui/file/c7a6ef3b200620ca31d35b4c184967190fde99548f7137682ae5c63454b5141a/detection
    jousca
        4
    jousca  
       Sep 8, 2022
    看来还真是被人劫持了木马程序
    Archeb
        5
    Archeb  
       Sep 8, 2022
    持续关注
    NanoApe
        6
    NanoApe  
       Sep 8, 2022
    无法复现,要不看看用 HTTPS 还能被劫持吗?
    terence4444
        7
    terence4444  
       Sep 8, 2022
    自动更新还能 HTTP 是比较严重的安全漏洞了吧
    York618
        8
    York618  
       Sep 8, 2022
    116.251.65.100 ,是吧,阿里云北京 IP 。
    应该查得到实名的建议上报王晶之类的
    阿里云为什么老出事故,前有上海 ga 后有某人脸识别公司数据泄露?
    MoeMoesakura
        9
    MoeMoesakura  
       Sep 8, 2022
    考虑运营商投毒可能性?
    snomiao
        10
    snomiao  
       Sep 8, 2022
    chocolatey 渠道安装未能复现
    swiftg
        11
    swiftg  
       Sep 8, 2022 via iPhone
    四川移动没有被劫持
    killva4624
        12
    killva4624  
       Sep 8, 2022
    有没有可能是 DNS 投毒
    jimmyczm
        13
    jimmyczm  
       Sep 8, 2022
    刚安装了,没发现这个 ip
    Shorekeeper
        14
    Shorekeeper  
       Sep 8, 2022
    样本提交卡巴斯基了,这东西的行为好像包括请求微软和一个 Cloudflare 保护的域名,说不定可以向 Cf 举报。
    asm
        15
    asm  
       Sep 8, 2022
    直接访问那个地址,返回一个 exe ,大概率 dns 劫持吧,问题是怎么弄的。
    paradoxs
        16
    paradoxs  
       Sep 8, 2022
    怕什么呀,我们 windows 自带了安全软件 Defender ,所以根本就不用怕!
    paradoxs
        17
    paradoxs  
       Sep 8, 2022
    那些用 mac os 的,如果遇到这样的恶意软件,根本就手足无措, 因为 mac os 系统没有自带安全软件,这也是苹果对系统安全的漠视带来的惨痛结果。
    KomeijiSatori
        18
    KomeijiSatori  
    OP
       Sep 8, 2022 via iPhone
    @asm DNS 结果没有问题,感觉可能是运营商劫持
    dasdcasd
        19
    dasdcasd  
       Sep 8, 2022   ❤️ 10
    你这是遇到 APT 了 2333
    我根据木马样本包含的字符串追踪到了一个极为相似的历史木马样本
    两者代码结构和命名方式都即为相似
    https://www.hybrid-analysis.com/sample/1e9fc7f32bd5522dd0222932eb9f1d8bd0a2e132c7b46cfcc622ad97831e6128/617b7a1c54d0d627e6115d93
    https://app.any.run/tasks/87f12d0c-9877-483b-aded-a00f59ec82bf/ 可以从 any.run 下载样本
    该木马出现在一个安全报告中
    https://www.stormshield.com/news/security-alert-windealer-stormshield-response/
    木马家族命名为 WinDealer
    https://teamt5.org/en/posts/japan-security-analyst-conference-2022/
    https://jsac.jpcert.or.jp/archive/2022/pdf/JSAC2022_7_leon-niwa-ishimaru_en.pdf

    https://www.hake.cc/page/article/3881.html
    "中国罗宇黑客利用旁人攻击部署 WinDealer 后门"
    这个马的传播方法非常高级 通过劫持骨干网路由器替换更新文件 进行木马植入
    Tumblr
        20
    Tumblr  
       Sep 8, 2022
    @KomeijiSatori #18 同湛江联通,自动更新正常,没被劫持,测试了 2 个版本:
    - Version 1.4.1.1018 (x64)
    - Version 1.5.0.1317
    mmdsun
        21
    mmdsun  
       Sep 8, 2022 via iPhone
    @paradoxs 手动滑稽 ~ 其实微软也出了 Windows defender for macOS ,苹果也能安装。
    swiftg
        23
    swiftg  
       Sep 8, 2022
    看 IP 是对的,那只有对 IP 进行劫持了,能做到这个份上的只有运营商自己了吧,或者国家级别的攻击? https 太重要了
    swiftg
        24
    swiftg  
       Sep 8, 2022

    基于以上所有分析,研究人员推测 AS4134 上的攻击者可能具有以下能力:
    拦截所有的网络流量,这使它们能够接收到对随机 IP 地址的后门响应,而无需部署实际的 C2 服务器;
    在网络中注入任意的 TCP 和 UDP 数据包,通过这种能力,他们可以向 WinDealer 发送订单;
    完全控制 DNS ,这意味着他们可以为不存在的域提供响应;


    谁才能拥有这个能力呢
    swiftg
        25
    swiftg  
       Sep 8, 2022
    楼主不会是啥高价值目标吧?重新拨号换个 IP 看看呢
    swiftg
        26
    swiftg  
       Sep 8, 2022
    它主要针对的是位于中国的目标,如外国驻华外交机构、学术界成员,或国防、物流和电信部门的公司
    swiftg
        28
    swiftg  
       Sep 8, 2022
    @SunsetShimmer 木马可以向任意域名甚至是不存在的域名通信,或者劫持某个 AS 内任意 IP ,攻击者劫持了 DNS 系统、骨干路由器、整个 AS ,就为了偷偷把用户目录的文件传出去,也不加密硬盘勒索点钱,真是良心
    Shorekeeper
        29
    Shorekeeper  
       Sep 8, 2022
    @swiftg 是可能的猜测。VirusTotal 报告里提到了一个真实存在的域名 icanhazip.com
    暂不清楚用途。
    Shorekeeper
        30
    Shorekeeper  
       Sep 8, 2022
    @swiftg 访问这个会返回用户外网 IP
    swiftg
        31
    swiftg  
       Sep 8, 2022
    @SunsetShimmer windealer 的报告里也有这个域名,就是用来得到用户的公网 IP 的
    Shorekeeper
        32
    Shorekeeper  
       Sep 8, 2022
    @swiftg WHOIS 里面没什么有效信息
    Registrar:CloudFlare, Inc.
    Registered On:2009-07-31
    Expires On:2024-07-31
    Updated On:2022-06-03
    nobodyhere
        33
    nobodyhere  
       Sep 8, 2022
    软件 update 劫持,可能是常用的特定人群监控手段,只要确定该人群常用某 app/软件,如 http 就直接劫持,如 https 就当面要求开发商要求配合,不要问是怎么知道的
    swiftg
        34
    swiftg  
       Sep 8, 2022
    @SunsetShimmer 这应该只是一个合法正常的网站,木马只是用来获取被攻击者的公网 IP ,猜测方便在骨干路由中精准劫持。这种级别的攻击不会是广撒网大范围的,都是精准攻击高价值目标,所以楼主可能不是普通人?
    zhengrt
        35
    zhengrt  
       Sep 8, 2022
    我感觉这是 gov 做的测试 一般人没有权利动骨干网路由的
    AlphaTauriHonda
        36
    AlphaTauriHonda  
       Sep 9, 2022 via iPhone
    太恐怖了。😱
    fangxiaoning
        37
    fangxiaoning  
       Sep 9, 2022
    路由劫持。。。这有点牛
    ZeroKong
        38
    ZeroKong  
       Sep 9, 2022
    @zhengrt 分析到这就可以了,别继续分析下去了。
    Danswerme
        39
    Danswerme  
       Sep 9, 2022
    @zhengrt 细说
    iBugOne
        40
    iBugOne  
       Sep 9, 2022
    分享一下开发者给我的第三封邮件回复

    ✉️ David Carpenter <[email protected]>
    To: <redacted (v2ex @iBugOne)>
    Re: voidtools - Contact form

    Hi iBug,

    Thanks for the update.

    I have just pushed out an update that switched to HTTPS in the latest Everything 1.5a:
    https://www.voidtools.com/forum/viewtopic.php?f=12&t=9787

    This update will check both the latest available version and opening the download page with HTTPS.

    I'll let users test this update and merge it with Everything 1.4.

    Regards,
    David
    zhengrt
        41
    zhengrt  
       Sep 9, 2022
    @ZeroKong 赞同
    @Danswerme 你来说
    respawn
        42
    respawn  
       Sep 10, 2022
    出于软件自动更新会有残余的考虑,该软件从来都是官网下载,校验官网的 sha256 ,目前没中招,同联通。
    elboble
        43
    elboble  
       Sep 10, 2022 via Android
    看了楼上 BlackBerry 的报告,两点印象深刻
    1,这个方法应该是是从斯诺登泄漏 nsa 资料后被 luoyu 学到的。
    2,只感染 win 平台。
    YamatoRyou
        44
    YamatoRyou  
       Sep 10, 2022
    行为上有点像腾讯在 2016 年曝光的 DCM 木马.
    techon
        45
    techon  
       Sep 11, 2022
    能做到运营商级流量劫持的,国内应该没有第二家了。
    不过这也符合现实逻辑,就像 GFWer 可能会为了利益私下造梯子并打击同行一样(纯个人猜测,不喜勿喷)
    yuange1975
        46
    yuange1975  
       Sep 16, 2022
    针对 everything 更新劫持的 apt 攻击事件解析
    https://mp.weixin.qq.com/s/30xXiia0USjyWeFv9Dvxmg
    KomeijiSatori
        47
    KomeijiSatori  
    OP
       Sep 16, 2022 via iPhone
    @yuange1975 被删了
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   936 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 114ms · UTC 20:43 · PVG 04:43 · LAX 13:43 · JFK 16:43
    ♥ Do have faith in what you're doing.