背景

　　奇安信威脅情報中心在終端側(cè)運營過程中發(fā)現(xiàn)了一個規(guī)模巨大并且能夠劫持受害者 Google 搜索內(nèi)容和劫持電商鏈接等惡意行為的境外黑客團伙，基于 PDNS 數(shù)據(jù)發(fā)現(xiàn)該團伙從 2021 年開始活躍，并且惡意域名在 OPENDNS 的 top 1m 列表中，全球受影響的終端至少百萬級別。

URL	活躍時間
overbridgenet.com/jsv2/offer_combo_v6	2021-05-10至2023-04-15
overbridgenet.com/jsv8/offer	2023-05-24至今

　　相關(guān)域名在國內(nèi)的訪問量也很大：

　　我們在瀏覽器中找到了一個惡意插件，并將其命名為“幽靈插件”。

　　攻擊者繞過了 Google CSP 機制，當使用 Google 搜索時會向頁面中注入 js，注入前截圖如下：

　　注入后結(jié)果如下：

　　Google 搜索頁面加載了額外的 js，額外在頂部展示出攻擊者推送的結(jié)果，除了控制搜索結(jié)果外，受害者訪問任意頁面時都會注入另一段 js，用來追蹤受害者訪問習(xí)慣和軌跡，當受害者訪問電商類型的網(wǎng)站時惡意 js 會從 overbridgenet.com/jsv8/offer 獲取到一個新的域名用來劫持當前頁面中的跳轉(zhuǎn)鏈接。

　　overbridgenet.com 解析的IP為 5.223.52.27，該 IP 下存在多個可疑域名，訪問量都很大。

　　基于 VT 數(shù)據(jù)可以看到大量 URL，URL 的字段與上述拼接的字段一致，只是順序有所不同，所以這些 URL 是惡意 js 拼接后的劫持鏈接，觀察到被劫持的 URL 存在一些 web 登錄頁面。

　　目前劫持鏈接只有跳轉(zhuǎn)功能，劫持邏輯由攻擊者在云端控制，理論上可以定制化劫持特定的網(wǎng)站，甚至可以進行中間人劫持獲取登錄頁面的賬密。

　　影響范圍

　　基于 PDNS 數(shù)據(jù)，我們對受到到惡意插件影響的國內(nèi)受害者進行了統(tǒng)計：

　　當 Google 搜索結(jié)果被劫持時會訪問 svdred.com 和 xerogala.com，那么可以統(tǒng)計實際被成功劫持的國內(nèi)受害情況：

　　技術(shù)細節(jié)

　　如此大規(guī)模的受害程度，攻擊路徑可能不止一個，基于終端數(shù)據(jù)我們觀察到該惡意插件隱藏在破解安裝包中，如下：

　　攻擊者將類似這種偽造的安裝包上傳到一些破解軟件的下載站，等待受害者下載，受害者點擊后會在 C:UsersPublicdata 下釋放一系列惡意組件。

　　其中的一部分組件首先會被釋放到 C:WindowsSystem32 文件夾下。

　　之后由 mdwslp 完成這些組件從 WindowsSystem32 到 UsersPublicdata 的過渡。

　　釋放完畢后會執(zhí)行 sc create XblGame binPath=”C:UsersPublicdatamdwslp.exe” start= auto 命令，將 mdwslp 組件注冊為服務(wù)，然后啟動該服務(wù)。

　　mdwslp.exe

　　該組件負責(zé)整個惡意 web 插件的初始化，首先會判斷相關(guān)組件是否存在來確定是否已初始化完成。

　　將 WindowsSystem32data1.zip 解壓到 Publicdataext。

　　該部分為惡意 web 插件的 js 代碼。

　　之后會循環(huán)檢測是否存在 Publicdatauptimecrx.exe，不存在就從 WindowsSystem32uptimecrx.dat 拷貝。

　　拷貝之后會使用 微軟官方簽名工具 signtool.exe 對其進行簽名。

　　具體的簽名攻擊者自己創(chuàng)建的。

　　最后將 uptimecrx.exe 注冊為另一個服務(wù) XblGame2 并啟動。

　　uptimecrx.exe 的簽名每 10 小時更新一次。

　　檢測標志文件 Publicdataup1.dat 是否存在，如果存在則表示自身需要更新，退出循環(huán)，該組件的更新由 uptimecrx.exe 完成。

　　除此之外，該組件還會循環(huán)檢測惡意 DLL 是否注入到目標進程。

　　如果沒檢測到就會調(diào)用注入工具進行注入。

　　該工具為之前釋放的 WindowsSystem32datax.dat，調(diào)用時會為其隨機設(shè)置一個新文件名并拷貝到 AppDataLocalTempxtdbf 文件夾下。

　　之后以 –install/–uploaddll 等參數(shù)啟動該工具。

　　uptimecrx.exe

　　該組件用于更新和持久化 mdwslp.exe，循環(huán)檢測 mdwslp.exe 是否存在，如果不存在則從 WindowsSystem32mi_nt_svc.dat 拷貝，并重新注冊服務(wù)并啟動。

　　檢測 mdwslp.exe 注冊的服務(wù) XblGame 是否已停止，如果停止則重新啟動。

　　通過標志文件 Publicdataup1.dat 檢測 mdwslp.exe 是否需要更新，仍然通過拷貝 WindowsSystem32mi_nt_svc.dat 進行更新并對其重新簽名，更新完畢后注冊并啟動服務(wù)。

　　datax.dat

　　該組件為 DLL 注入工具，其主要功能為將惡意的 ntdb.dll 注入到目標進程中。

　　根據(jù)參數(shù)的不同，注入的目標進程如下所示：

　　–install：注入到 explorer 進程；

　　–browser_chrome：注入到 chrome 進程；

　　–browser_msedge：注入到 msedge 進程；

　　–uploaddll：從 WindowsSystem32ntdb.dat 處獲取新的載荷 DLL，并重新簽名。

　　ntdb.dll

　　該組件用于加載惡意 web 插件，首先判斷自身是否在 explorer.exe、chrome.exe、msedge.exe進程中，如果不是則結(jié)束運行。

　　如果其在 chrome.exe 或 msedge.exe 中，hook 相關(guān) dll 中的 ChromeMain 函數(shù)。

　　以及 hook 相關(guān)事件函數(shù)。

　　如果在 explorer.exe 進程中，則會以 –load-extension 等參數(shù)啟動瀏覽器，用于加載惡意 web 插件。

　　惡意插件路徑指定為 UsersPublicdataext。

　　啟動完畢后會將自身注入到瀏覽器進程。

　　Ext（瀏覽器插件）

　　如果惡意插件加載成功，瀏覽器擴展欄會顯示一個空白頁面。

　　詳細信息如下：

　　manifest.json

　　定義相關(guān) js 的作用范圍，service_worker.js 為后臺服務(wù)工作進程：

　　content_script.js 會在 url 匹配到搜索引擎相關(guān)時被加載：

　　disabled-trusted-types.js 在任何時候被加載；

　　之后定義了一些雜項，包括版本信息，更新鏈接等。

　　content_script.js

　　獲取當前 uuid 傳遞給 web_accessible_resource.js 并加載。

　　web_accessible_resource.js

　　首先進行簡單 url 檢測，檢測成功后會向 calnor.info 請求 js 并注入到當前頁面。

　　根據(jù) manifest.json 中的規(guī)則，訪問 Google 搜索時會加載該 js，可以看到 calnor.info 返回的 js 已經(jīng)出現(xiàn)在網(wǎng)頁源碼中。

　　disabled-trusted-types.js

　　關(guān)閉瀏覽器的 XSS 防御策略。

　　service_worker.js

　　該 js 為后臺服務(wù)進程，在擴展被啟動時運行，首先會注冊一個安裝事件監(jiān)聽器，當該擴展被首次安裝時執(zhí)行。

　　首先從 klymos.info 獲取一個 uuid：trackInstall。

　　注冊客戶端 ID，向 dash.zintrack.com 發(fā)送該事件的消息：sendApiRequest。該域名是 Google Analytics 的輕量級替代，攻擊者注冊了自己的 api key 用來統(tǒng)計受害者。

　　設(shè)置該擴展被卸載時接收消息的域名 dash.zintrack.com：setUninstallURL。之后會設(shè)置一個定時器，每過一段時間進行規(guī)則更新。

　　規(guī)則仍然從 klymos.info 獲取，并將獲取到的規(guī)則應(yīng)用到該擴展的網(wǎng)絡(luò)請求攔截中。

　　獲取到的規(guī)則如下，其功能是對部分搜索網(wǎng)站的網(wǎng)絡(luò)請求中移除掉 content-security-policy、X-Xss-Protection 等安全策略。

　　注冊定時器 update-rc 用于獲取遠程代碼。

　　fetchRemoteCode 用于從 infird.com 獲取 js 代碼。

　　注冊選項卡更新事件，每當用戶創(chuàng)建了新的瀏覽器選項卡時，將獲取到的遠程 js 代碼加載到當前頁面，如果當前頁面 url 在 blacklist 中則不加載。

　　當用戶訪問任何不在 blacklist 中的網(wǎng)頁時，該 js 被加載到網(wǎng)頁源碼中。

　　最后會生成一個 page_view 事件，用于指示受害者已經(jīng)加載了 service_worker.js。

　　這些信息會被發(fā)送到 Google 的網(wǎng)絡(luò)分析服務(wù)網(wǎng)站 www.google-analytics.com，攻擊者在該網(wǎng)站注冊了自己的 API，可能是用于統(tǒng)計受害者。

　　remote code.js

　　該 js 是從 infird.com 獲取的遠程 js 文件，會在用戶打開新網(wǎng)頁(新增選項卡)時加載，其惡意邏輯通過攻擊者設(shè)置的幾個限時 cookie 進行控制。

　　首先會對當前頁面 url 進行嚴格過濾，對于大部分的色情網(wǎng)站、社交媒體、搜索引擎等會停止執(zhí)行。

　　url 中如果存在以下字段也會停止執(zhí)行，可以看出攻擊者在避免高訪問量的場景，可能是用于隱藏自身。

　　如果通過了過濾，會設(shè)置一個定時器，每 20000 ms 執(zhí)行相應(yīng)操作。

　　進行初始化階段，檢測相應(yīng) cookie 項是否存在，如果存在則停止執(zhí)行并清除定時器。

　　其中 Lda_aKUr6BGRn 是用于攻擊者進行重定向的網(wǎng)址，當他為空時，會從 overbridgenet.com 獲取一個新網(wǎng)址進行填充。

　　overbridgenet.com 會返回一個 json 文件，其中 at 項用來填充 Lda_aKUr6BGRn，在實際調(diào)試中該頁面僅返回 {“s”:1,”n”:1} 格式的 json 文件，攻擊者可能會篩選目標后才會在特定時間填充 at 項進行攻擊。

　　如果 n = 1，perf_dv6Tr4n 項會被創(chuàng)建并填充為 1，json 中的 c 項為 cookie 過期時間，用于控制該 js 文件是否繼續(xù)執(zhí)行 (在初始化階段時 perf_dv6Tr4n = 1 就返回)。

　　由于實際調(diào)試時 json 文件沒有 c 項，該 cookie 不會過期。

　　如果 Lda_aKUr6BGRn 項被填充，則進入下一階段過濾：

　　1、當前 url 為指定電商網(wǎng)站且 Ac_aqK8DtrDL 為空。

　　執(zhí)行鏈接替換操作。

　　首先會創(chuàng)建一個點擊事件監(jiān)聽器，當用戶在該頁面點擊了帶有指定標簽的元素時，劫持用戶跳轉(zhuǎn)并將用戶重定向到攻擊者指定的鏈接。

　　新鏈接由 Lda_aKUr6BGRn 拼接得來，新鏈接可能用于攻擊者進行釣魚。

　　2、當前 url 不是電商網(wǎng)站且 Lda_aKUr6BGRn 不為空以及 Ac_aqK8DtrDL 為空。

　　將整個頁面劫持到攻擊者的鏈接，設(shè)置 Ac_aqK8DtrDL 為 1，Ac_aqK8DtrDS 用于計數(shù)。

　　3、Ac_aqK8DtrDL 不為空 Fm_kZf8ZQvmX 為空

　　創(chuàng)建一個新 iframe，將 src 項設(shè)置為攻擊者的鏈接，設(shè)置其樣式并將其插入到當前頁面內(nèi)容中，最后設(shè)置 Fm_kZf8ZQvmX 為 1。

　　calnor.js

　　該 js 是從 calnor.info 處獲取的 js 代碼，用于攻擊者攔截相關(guān) manifest.json 規(guī)則中的網(wǎng)頁并將其注入。

　　其主要針對 Google 等搜索引擎，攻擊者可以替換用戶搜索頁面的內(nèi)容，首先會檢測當前頁面是否存在攻擊者設(shè)置過的標簽 mdorkirgneorpowtn。

　　如果存在則向 svdred.com 發(fā)送相關(guān)標簽數(shù)據(jù)，不存在則發(fā)送 global。

　　同樣的，檢測頁面是否包含另一些元素，并向 svdred.com 發(fā)送元素對應(yīng)數(shù)據(jù)，這些元素在正常的 Google 搜索頁面上并不存在，是由攻擊者進行設(shè)置的，對其進行檢測用于去除重復(fù)執(zhí)行。

　　對于該 js，執(zhí)行后會在當前頁面插入元素 mdorkirgneorpowtn。

　　對于以上所有元素，檢測到之后會終止執(zhí)行，用于避免不同的組件互相影響。

　　通過檢測之后，首先設(shè)置 mdorkirgneorpowtn 值為 a=4001&u=0106-20250304-ORG。

　　攻擊者會避免在一些搜索模式中執(zhí)行該組件，如用戶搜索圖片和購物等，僅根據(jù)搜索內(nèi)容區(qū)分并向 xerogala.com 發(fā)送不同類型的信息，然后終止執(zhí)行。

　　之后會向頁面 head 中添加一個名為 referrer 的 meta 元素。

　　之后進入替換邏輯，首先獲取搜索內(nèi)容，創(chuàng)建一個新 style 元素并設(shè)置樣式。

　　根據(jù)獲取的搜索內(nèi)容拼接 url 請求，發(fā)送到 xerogala.com 并獲取返回數(shù)據(jù)。

　　將返回數(shù)據(jù)處理后，填充到元素 sadsfs 中，插入到當前頁面。

　　其功能是在搜索頁面的開頭處插入攻擊者替換的搜索結(jié)果，如下是受害者進行搜索后的效果，可以看到最開頭的幾個搜索結(jié)果被替換。

　　正常用戶的搜索結(jié)果中不包含最開始的內(nèi)容。

　　通過調(diào)試頁面可以看到攻擊者插入的內(nèi)容正是 sadsfs 元素，其大多數(shù)情況下是廣告內(nèi)容。

　　總結(jié)

　　目前，基于奇安信威脅情報中心的威脅情報數(shù)據(jù)的全線產(chǎn)品，包括奇安信威脅情報平臺（TIP）、天擎、天眼高級威脅檢測系統(tǒng)、奇安信NGSOC、奇安信態(tài)勢感知等，都已經(jīng)支持對此類攻擊的精確檢測。

　　IOC C2：

　　calnor.info klymos.info infird.com overbridgenet.com infirc.com xerogala.com svdred.com cachedclr.com MD5:

　　40210f065e82d06b364f56c9ab4efdcd a4aa475e2309f05ac83d8289b4604cbd

　　1c6271c9bd6281b06965ca780b292e65

　　ebee140bdb9f1f80597cdea66860e1b6