收到端午节红包?另有蹊跷 - 卫士安全实验室

in root技术 with 4 comments

本文由小云云分析、编辑发布,如有不足之处还望通过博客的“关于”页面联系我并指出,谢谢!



0x01 起因

    迅云群安全卫士(以下简称卫士)安全实验室于 2017-5-28/29 期间监测并捕获了大量所谓的“端午节红包”恶意XML,捕获当时就已被卫士DVM人工智能引擎检出为未知威胁并拦截。目前卫士可全面查杀、拦截此类威胁。


0x02 关联性分析

    通过对捕获的XML样本提取相关特征,在卫士威胁情报系统中检索,可以查到在 2017-5-20/21 期间,卫士安全实验室也有捕获到相关样本,通过对两次XML代码的比对,发现并无太大差别。


0x03 样本分析

    我们先来看一下该样本所呈现的内容。

    1495991109.png

    (图 1 为 样本呈现的内容并被卫士DVM人工智能引擎报恶意拦杀)

    

我们先将样本代码保存至 1.xml 并在 Notepad++ 中打开。预览整体样本代码,是这样的。

    1.png

    (图 2 为 1.xml 全部代码)

我们从 encoding 属性中可以得知该XML采用了 UTF-8 进行编码。再向后看 standalone 属性,得知值为 yes 即该 XML 是独立的,而不依赖任何DTD文件。

继续向后看,我们可以注意到 2.png 该XML在 msg 段规定了服务类型ID=1,即为通常卡片式消息,可转发可收藏。我们也可以得知 action = web 3.png,限定了该XML卡片消息是一个 web 跳转型。

既然是web可跳转型,必然有一个url属性来保存触发点击动作后跳转的url地址。

继续往下看到 url= 这里,我们从XML中可以直接得知该url地址为:

http:///www.baidu.com/link?url=vMVPDPkGqWUlJVhqnMkZy09wGx7yk56As0MmhDi0WUK&wd=&eqid=b6b0a2df0005bc30000000055929201a&_wv=3&464967076403

4.png

我们可以明显看到该XML利用了 baidu 的 link 做链接跳转,躲避 QQ 安全机制的检测。继续向下看,我们得知了 title 规定了该XML卡片的名称,则 summary 规定了卡片的描述信息。往下的XML属性我们暂时先不管。回到上述的url地址上。

我们通过访问上述url并跟踪查看浏览器调试工具中的“network”选项卡,

5.png

(图 3 为 访问百度link后的 header 信息)

我们可以看到,被百度 302 重定向到了“163che.cn”上,继续往下跟着,

6.png

(图 4 为 百度link进行 302 重定向到的 header 信息)

我们看到,“163che.cn”返回了 503 告知服务无法处理。

7.png

(图 5 为 163che.cn 以 503 拒绝请求处理)

我想这是源站为了躲避分析所设立的一个障碍(算是吧 / 可能),为什么这么说呢?我们先抛开不管这个,继续往下。

我们尝试在手机QQ端访问 163che.cn,

8.PNG

(图 6 为 手机端访问 163che.cn

这时,我们可以从图6中看到,该站打开了,并模拟了一个QQ红包的样式诱导用户点击“拆开红包”,我们继续将“163che.cn”拷贝到非QQ内嵌浏览器中进行访问,

9.PNG

(图 7 为 手机端非QQ内嵌浏览器访问 163che.cn)

我们可以看到,是白屏的。这或许验证了我上面的猜想,源站为了躲避分析或其他目的而设立的一个小障碍。而之所以白屏,获取源站是试图get了一些qq的cookies,而这时却get不到,故无动作。

我们回到使用QQ内嵌浏览器访问的界面,并点击“拆开红包”,

10.png

(图 8 为 手机端QQ内嵌浏览器访问 163che.cn 并点击“拆开红包”后)

我们可以从图8中看到,源站再次模拟了QQ红包的相关UI特性并显示现金红包为54元,再次诱导用户点击“立即领取”,我们顺着源站开发者的思路,继续点击“立即领取”

11.png

(图 9 为 点击图8所示的“立即领取”后)

我们看到,弹出了QQ转发...

12.jpg

源站开发者的目的应该是诱导用户大量转发该XML,这里我们选择转发至“我的电脑”,

13.png

(图 10 为 点击图9所示的“我的电脑”后)

我们继续在手机端打开该URL,

14.png

(图 11 为 点击图10所示的URL后)

我们看到该URL跳转到了一个为“sngys1”的购物号,如此可见,源站开发者的目的其中之一就是给自己注册的购物号带来流量,从这我们也可以看出腾讯对购物号的审核不严、门槛低等,我们继续点击他的图片“点击领取QQ红包”,

15.png

(图 12 为 点击购物号图片后)

我们从图12可以看到一个 kc155.com 的站点弹出了一个加客服QQ的提示,我们继续点击“好”,

16.png

(图 13 为 点击图12所示的提示框按钮“好”后)

17.png

我们可以从图13中看到,源站开发者在为该QQ拉取流量并诱导用户加好友。到此,整个过程结束。


0x04 总结

    我们由上述内容可以得出,原始传播该恶意XML的作者希望附带大量的流量推广,同时诱导用户加所谓的“客服_小花”为好友领取奖励,最终采用一贯的常规欺诈手段,以各种理由,骗取用户钱财。


0x05 最后

    卫士安全工程师提醒大家,通常此类来路不明的XML卡片式消息要保持高度警惕,切勿手快点击导致中招。必要时可以借助群 / 终端安全产品(如 迅云群安全卫士、360安全卫士 等安全软件...)进行安全防护,规避此类安全风险。在该XML样本中并未表现出其他中间类恶意行为,相比今年早期捕获的恶意自动执行XML不同。但这些样本中都有一个相同的特点,那就是以某些高诱惑性关键词诱导用户。


小云云

如您有更好的意见,欢迎通过博客的“关于”页面联系我

分享您的想法
  1. xxx

    66666666,然而看不懂

    Reply
    1. @xxx

      ...

      Reply
  2. 好可怕

    博主你好,加你qq了,同意下

    Reply
    1. @好可怕

      不加好友,有事请邮件或走博客的问题反馈页面提交反馈~

      Reply