领跑网吧

领跑网吧
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
黑客溯源：“领跑吧”广告木马追踪安天追影认证厂商2015-11-17共333723人围观，发现 14 个不明物体系统安全网络安全
0×00 概要

近期安天追影团队通过追影监控平台发现黑客以各种手段传播广告获利木马，受害主机感染木马后，会自动访问“领跑网吧广告传媒（域名为lingpao8.com）”的计费广告链接，该公司的业务是广告传媒、浏览首页、开机广告等，领跑按照推广流量分给下家收益，其中一个广告样本还具有Rootkit隐藏功能。通过追踪发现放马服务器和域名注册地都在山东。

QQ截图20151113172805.png

0×01 样本分析

一、广告母体释放nvsvc.exe的分析

MD5：b07f778a215e2c88a9c2b5ea26a178bb

其主要功能是创建互斥量、请求广告计费，下载广告安装包，设置IE主页等。

1.创建互斥量 GlobalLPSYNCG

2.向领跑吧发送计费统计ID

2.png

与目的IP进行HTTP通信，发送GET信息。从通信内容可以得知，是向带UID = 00000000_0002BA29的URL发起请求。该UID为目的领跑客户端推荐人的UID。该通信行为是告诉lpvoidray.lingpao8.com这台机器是UID为00000000_0002BA29的用户，其访问的流量计入其UID名下。

3.png

目的IP收到首包后，回复一个HTTP包，如下图所示。先回复200 OK，表示请求成功。后又跟着以文本为单位的数据，其中含有一个下载地址DownloadUrl = http://p1.lingpao8.com/Phoenix/20150915.zip，为领跑客户端的组件下载地址。

4.png

设置IE的首页“http://1.sogoulp.com/index16778739_1.html”，即为图4.2.2中设置“搜狗浏览器”为主页的付费广告链接，该链接被有效访每1000次，该链接的所有者会得到20元的收益

5.png

二、广告母体释放

MD5：692809fc6cd80e11e86a88f27ffe1a9f

其主要功能是创建HideSys.sys并写入相应的PE信息，然后创建相应的服务EProcess、如下图所示：

6.png

使用Atool或者Xutr等工具均可查看到隐藏的广告木马进程。

499766035183672591.jpg

0×02 网络架构

最早可以追溯到2014年6月，放马站主要的IP地址如下：

221.215.123.*
60.209.124.*
221.215.160.*
119.167.*.*
124.129.3.*
124.129.149.*
放马服务器所在山东近期活跃记录。

8.png

uup.chao*.net域名注册地址

邮箱：li***@126.com

注册时间：2014-03-03

过期时间：2016-03-03

所有者位置：山东省青岛市城阳区正阳路491号

0×03 总结

广告类木马以利益为趋势，随着广告联盟推波助澜，不断变更技术，增强对抗能力，包括利用最新公布的漏洞进行传播，利用Rootkit技术隐藏自身，广告类木马一个典型特征是获利资金链条相对清晰，可以利用计费ID去追踪受益者。

*作者：安天追影团队，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）

安天追影
安天追影
5 篇文章
等级： 3级
||
上一篇：FBI很气愤：黑了CIA的熊孩子又回来了下一篇：斯诺登应该为巴黎恐怖袭击背锅？通信加密造成的惨案？
这些评论亮了

核和合赫赫核喝回复
北京的老被查。深圳的老被日。香港老加钱。海外买不起。好不容易有个青岛的。还被曝光了。
)7(亮了

Rasiel 回复
好不容易挣个广告费还被你曝光，要知道比那些靠贩卖信息赚钱的文明多了！
)6(亮了
发表评论已有 14 条评论

Rasiel 2015-11-17回复 1楼
好不容易挣个广告费还被你曝光，要知道比那些靠贩卖信息赚钱的文明多了！

亮了(6)

驻场汪 2015-11-17回复 2楼
老乡好思路，为何没有攻入放马的服务器主机？冰城人民期待楼主后续精彩文章。

亮了(4)

shellcode 2015-11-17回复 3楼
我在正阳中路 385号，迪欧咖啡旁边，

亮了(5)

核和合赫赫核喝 2015-11-17回复 4楼
北京的老被查。深圳的老被日。香港老加钱。海外买不起。好不容易有个青岛的。还被曝光了。

亮了(7)

Feomix (2级) 有人天生为王，有人落草为寇 2015-11-17回复 5楼
怎么不是杭州的呢

亮了(5)

XmKezhan 2015-11-17回复 6楼
各种广告免费wifi，还有大百度，小米

亮了(3)

你大爷夫 2015-11-18回复 7楼
蓝翔

亮了(3)

大数字神棍 2015-11-18回复 8楼
分析水平太低，一看就是一个以公开身份做黑产一群二货。甚至怀疑注入木马都是买来的。应该是某个网吧联盟之类的推广组织。

亮了(5)

长得帅的都打辅助长得丑的才打中单 (1级) 2015-11-18回复 9楼
这也可以广告

亮了(3)

无聊的混混 2015-11-18回复 10楼
整点有用的吧，没有一个网吧不做增值的，一看就知道从事网吧行业，还用小号来装不知道网吧行业的内幕。这根本不是木马

亮了(5)

无聊的混混 (1级) 2015-11-18回复 11楼
好不容易挣个广告费还被你曝光，要知道比那些靠贩卖信息赚钱的文明多了！这个支持

亮了(3)

哈尔滨路人甲 (1级) 2015-11-18回复 12楼
断人财路如同杀人父母

亮了(4)

桃江仔 (2级) 2015-11-20回复 13楼
这个，比买信息，还是要来的文明吧。

亮了(2)

桃江仔 (2级) 2015-11-20回复 14楼
劳动光荣

亮了(2)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
安天追影
安天追影认证厂商

安天追影官方账号

5
文章数
3
评论数
最近文章
暗黑客栈CVE-2015-8651漏洞原理分析
2016.01.20

盗用过期数字签名的DDoS样本分析
2016.01.19

黑吃黑：鬼影DDoS黑客追踪
2015.12.18

浏览更多
相关阅读
爆料：安卓“间谍门”事件愈演愈烈，又一家中国公司被曝在300万台安卓设备中植入rootkitLinux Rootkit系列一：LKM的基础编写及隐藏对于RootKit的一次假想渗透及防护一个“美女”木马的自白号称可杀灭99.9%恶意程序的安全工具 – Rootkit Hunter
特别推荐

关注我们分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

文章评论