一、小白剧场
大东:小白,你用过激活工具吗?
小白:这个,我没用过,但是我听说过Windows7小马激活工具。
大东:那你知道这个Windows7小马激活工具是干什么用的吗?
小白:嗯?大东,听名字,莫非是来激活Windows7的?
小马激活工具(图片来自网络)
大东:你说的是对的。Windows7小马激活工具采用一键式激活方式,是一款高效的Win7激活工具,支持Win7旗舰版、专业版、家庭高级版、家庭初级版、简易版、标准版、企业版等。
小白:功能还蛮多的,但是最近没有怎么听说这个激活软件了哎?
大东:是的,小马激活工具早在2014年已不再更新,官网域名也已出售。但是最近它又活跃了起来。
小白:此话怎讲?大东,难道你又有新案例要讲了吗?
大东:哈哈,是的,最近它涉及到了一场病毒攻击事件,小白,你要听吗?
小白:大东,你就别拐弯抹角啦,我准备好了!
二、话说事件
大东:这次安全事件发生在2021年四月上旬,是一起由“老裁缝”激活工具引发的供应链感染事件。
小白:什么供应链感染?大东,你能解释一下什么是供应链吗?我不太清楚这个哎。
大东:可以,供应链(Supply chain)是指生产及流通过程中,涉及将产品或服务提供给最终用户活动的上游与下游企业所形成的网链结构。
小白:那供应链感染就是?
大东:就是在这个网链结构中发生的网络安全事件。
小白:那具体发生了什么呢?
大东:具体就是相关研究者处置了一起针对特定设备的“老裁缝”木马感染事件,系相关设备制造公司交付时使用了被污染系统激活工具所致,属于一起较典型的供应链污染事件。
小白:相关研究者是怎么发现的呢?
大东:就是在安全监测过程中发现一台设备不断地请求恶意域名“tsh16.t15jk.com”和“rl1.w7q.net”。
攻击记录 rl1.w7q.net(图片来自网络)
小白:然后发生了什么?
大东:接着威胁情报显示这两个域名标签为“恶意软件”、“电商劫持”,因此初步判断该设备被黑产木马感染。
小白:这个黑产木马就是“老裁缝”木马吗?
大东:是的。
小白:大东,我没有了解过这个“老裁缝”木马病毒啊,你能解释一下吗?
大东:其实“老裁缝”激活工具从2015年就已经开始制作病毒,也不算是一个“新朋友”。
小白:为什么叫这个名字呢?
大东:因为C&C通信服务器中包含laocaifeng字符串,所以病毒以“老裁缝”命名。
小白:那这个病毒容易发现吗?
大东:由于其核心模块都是内存加载,文件不落地,从而很难被发现。
小白:那它是怎么进行攻击的呢?
大东:“老裁缝”会按照制作者的计划,通过云端规则下发任务的方式,对电商进行劫持,劫持的电商有某东、某猫、某宝等电商平台。
小白:除了对电商进行攻击,还有别的攻击对象吗?
大东:当然有,“老裁缝”木马也会对自媒体视频进行播放量暗刷。
小白:都有哪些平台呢?
大东:视频网站包括某酷、桃厂、某狐等几大站点。根据统计显示“老裁缝”进行暗刷的自媒体视频广告条目有208条,平均每一条视频总的访问量约在2.5W左右,最高的一条达57W左右。
小白:那么可怕啊,那这个事件不是由一个叫“老裁缝”的激活工具引发的吗,与小马激活工具有什么关系吗?
大东:这个还是要从头来分析一下的。
小白:大东,你快来给我们分析一下吧。
三、大话始末
大东:所谓激活工具,便是打着“激活成功率最高”、“完美激活各个版本的系统”的旗号在短时间之内大范围传播的。
小白:这次事件怎么发现与激活工具有关的呢?
大东:因为研究者在对相关设备展开取证调查中,运行Autoruns发现系统注册表中均存在两个异常的计划任务OEM8和OEM8Server,对应文件为C:\Windows\OEM8\OEM8.exe(简称OEM8)。
小白:然后呢?
大东:然后将取得的OEM8样本放入文件沙箱检测,结果显示该文件为恶意,标签为“恶意下载”。
OEM8的文件沙箱检测报告(图片来自网络)
小白:那OEM8与小马激活工具有什么关系呢?
大东:据公开信息显示,OEM8原属于小马激活工具。
小白:原来是这样啊,那这个“老裁缝”木马怎么感染供应链的呢?
大东:这个要从它的攻击行为说起,“老裁缝”木马存在写入计划任务自启动、劫持浏览器主页和流量、发起远程请求等恶意行为。
小白:这个木马病毒具体做了什么呢?
大东:首先复制自身到C:\Windows\OEM8\目录下,并设定计划任务,保证系统开机启动(OEM8任务)和每月1日10:03定时启动(OEM8Server任务)。
OME8行为流程(图片来自网络)
小白:噢噢,原来是这样啊!
大东:然后它还劫持浏览器主页到“hao.qquu8.com”,该域名会跳转到“www.hao123.com/?tn=93394129_hao_pg”;并向“khoaf.com”发送异常请求,不过现在该域名已过期,无法得知具体交互行为。
浏览器劫持(图片来自网络)
小白:相关研究者检测到该域名的信息了吗?
大东:当然了,查询域名“khoaf.com”,发现有大量可疑样本通信记录,大部分属于KMS激活相关工具且包含“老裁缝”木马相关域名,包含本次攻击事件出现的外联域名“tsh16.t15jk.com”、“rl1.w7q.net”。另外 OEM8中也有对KMS8Load.exe程序设置注册表项。
可疑样本通信(图片来自网络)
小白:那它还做了些什么吗?
大东:最后就是在运行时创建了临时可执行文件r.exe、s.exe、i.exe。通过OEM将木马主体注入explorer.exe进程,与此同时,OEM驱动explorer.exe进程发起向“rl1.w7q.net”域名指向的C2远程命令与控制服务器,进而发生了此次感染事件。
创建临时文件(图片来自网络)
小白:原来在感染过程中,这个木马做了那么多事情,太可怕了,这件事情的起因到底是什么呢?
大东:经溯源,被感染设备的厂商在交付设备时,在其镜像中默认打包了含有木马的“老裁缝”激活工具。
小白:有查到背后攻击者的相关线索吗?
大东:据网上公开信息查证,匹配恶意域名“w7q.net”的项目代码曾在github上出现,且遗留了作者的企鹅邮箱,从暴露的代码页看含有杀毒软件侦测、浏览器插件栏侦测等文件头,其与“老裁缝”木马通过浏览器劫持电商流量的行为相关,该作者应为“老裁缝”木马相关的黑产人员。
小白:都查到企鹅邮箱,那岂不是已经可以确定黑产人员了?
大东:不幸的是,现在该企鹅号相关信息已被清空!
小白:唉,那就难查了。
大东:是的。
小白:这么可怕的木马软件,大东,你有什么好方法帮助企业预防供应链感染吗?
四、小白内心说
大东:首先企业必须积极发展信息驱动的供应链网络防御。
小白:都有哪些方法呢?
“老裁缝”木马(图片来自网络)
大东:首先公司应从宏观层面制定相应的措施来预防。
小白:具体怎么做呢?
大东:比如说相关企业应定义合理的安全级别以及制定相关控制措施,在业务合作中,企业可以要求分包商、供应商和关键供应链合作伙伴达到或超过这些既定的标准。
小白:这个不错呢。
大东:还有就是企业要注重软件的更新,企业应鼓励员工打开电脑的自动更新,及时修复所有的系统漏洞,避免病毒利用这些漏洞来攻击企业软件等。
小白:这个也蛮重要的。
大东:除此之外就是企业要不定时进行评估风险。
小白:企业怎么进行评估呢?有什么方法吗?
大东:可以通过像文件分析、技术验证、现场评估这些方法。
小白:还挺多选择呢!
大东:是的,企业可以通过这些方法,来确认供应商所需的安全控制措施是否到位,还可以评估控制策略和运行效果。可谓是“一石二鸟”。
小白:讲了那么多预防措施,那个人平时如何识别这些木马病毒呢?
大东:木马病毒还是蛮“狡猾”的,一般来说需要使用杀毒软件或者手机自带的安全中心进行扫描,进而识别这些病毒。
小白:这个扫描结果很准确吗?
大东:不能说百分之百,因为任何一款杀毒软件都会因为查杀引擎、病毒库样本数量影响对未知病毒的判断,因此扫描结果只是相对的。
小白:那我们个人平时怎么做比较好呢?
大东:比如说小白,你在日常上网过程中遇到陌生链接不要随便点击,下载app也要尽可能前往官网。
小白:这个方面我做的还是不错呢,还有别的吗?
大东:还有就是手机权限不要随便提供给软件,这些可能会影响到使用的隐私安全,特别是root,root权限相当于手机令牌,软件一旦被恶意使用,手机会变得非常危险。这个你有学到吗?
小白:嗯嗯,学到了,非常值得参考!积极学起来!
参考资料:
1. 如何判断手机是否有木马?https://www.zhihu.com/question/389747170/answer/1173643927
2. 2020年供应链安全的五大新挑战
https://www.aqniu.com/news-views/61332.html
3. 老裁缝、独狼病毒家族再度活跃,唯心木马很违心
https://www.freebuf.com/articles/system/208186.html
4. 病毒分析 | 一款名为“老裁缝“的激活工具捆绑薅羊毛
https://www.sohu.com/a/208321589_354899
来源:中国科学院信息工程研究所
电脑