web安全之暗藏在常用工具軟件中的后門有哪些

這篇文章將為大家詳細講解有關web安全之暗藏在常用工具軟件中的后門有哪些，小編覺得挺實用的，因此分享給大家做個參考，希望大家閱讀完這篇文章后可以有所收獲。

        百度安全實驗室發現多款偽裝成“解壓工具”、“文檔閱讀器”等常用軟件，實則背后悄悄進行遠程代碼執行和刷流量牟取暴利等行為的惡意軟件。通過對這些偽裝軟件的技術分析，發現它們都源自重慶同一公司所為，惡意代碼作者通過注冊多個數字簽名實現繞過安全軟件的檢測,使用相同的框架開發多款網民常用的小工具，并利用大量下載站和界面簡單的“官方網站”進行傳播。其中一款名為“極客壓縮”解壓軟件，在騰訊軟件管理中下載次數就高達308萬次。

        當用戶安裝這些軟件后，會靜默通過遠程服務器下發惡意模塊和Lua腳本并執行，Lua腳本在執行過程會跳過“北京”、“上海”、“廣州”、“深圳”、“珠海”五大城市，以逃避主流安全廠商的捕獲和分析。Lua腳本機具備下載任意程序并靜默執行、結束進程、修改任意注冊表、向連接的手機安裝APK、修改主頁、本地提權等121個功能API，功能強大令人震驚。值得警惕的是，Lua腳本可隨時被升級更新，不排除有幕后黑手利用這功能強大的后門執行隱私竊取等其他惡意行為，存在極高的安全隱患。

        以下以其中一款名為“優選PDF閱讀器”的軟件為例進行分析：

一、行為分析

        軟件安裝并啟動后會調用安裝目錄的“YouPdfUpdate.exe”進程，傳入參數youp，并從網絡獲取動態鏈接庫，保存到程序當前路徑下，命名為update.yyp。

        該文件經過加密，解密后的動態鏈接庫包含兩個導出函數：

        該模塊主要實現創建Lua虛擬機并執行傳入的Lua腳本，模塊中實現了以下Lua API。

        以上API能夠實現自啟動、修改UAC策略、安裝APK、下載并執行文件、執行腳本、進程控制、從網絡獲取任意文件等操作。

        該模塊中實現了利用事件查看器漏洞繞過UAC防御，主要通過修改注冊表“HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command”的方式實現。

        程序在運行時，執行了Lua中的ExecNetScipt功能，即請求從“http://config.younoteba.top/src/youpdfu.html”下載并執行Lua腳本。解密后的腳本執行了發送機器信息到作者服務器、設置進程自身退出時間等一系列初始化操作，然后下載XML配置文件并根據獲取到的配置完成修改主頁、過濾進程、軟件推廣安裝等操作。

解密后的XML配置文件：

捕獲的Lua腳本中的主要函數如下：

1、 DoBiz

        該函數主要完成檢測引擎版本、判斷配置文件是否可寫、判斷是否用戶管家下載、判斷用戶點擊了意見反饋、下載配置、執行迷你頁、過濾進程及地區、執行富媒體等。

2、 InstallCpa

        該函數主要完成推廣軟件的安裝條件檢測、軟件下載以及安裝等相關行為。

3、SetHomepage

        該函數通過修改注冊表達到篡改瀏覽器主頁的目的。

二、同源性分析

        通過對“優選PDF閱讀器”的關聯分析，發現其關聯多個域名，涉及多款軟件，但行為基本類似。

1、 相似的安裝界面

以下為優選PDF閱讀器的安裝界面。

以下為關聯到的迅捷便簽的安裝界面

2、 相似的官網

        這些軟件均有相似度較高的官網，頁面布局、語言描述等均高度相似。

以下為優選PDF閱讀器及迅捷便簽的官網。

三、總結

近幾年，出現了一些打著“免費”的旗號，背后卻偷偷利用網民的電腦用作賺錢機器的工具軟件，這些軟件往往在表面騙取了用戶的信任，惡意行為卻很難被察覺。百度安全實驗室建議用戶能養成良好上網習慣，發現電腦異常及時使用安全軟件進行安全檢測。對于政企機構要加強對于軟件下載和升級的把控，加強網絡通信行為的分析感知能力。同時也倡導各軟件下載站和分發渠道能加強軟件審核、規范服務。

附錄1相關的軟件列表

關于“web安全之暗藏在常用工具軟件中的后門有哪些”這篇文章就分享到這里了，希望以上內容可以對大家有一定的幫助，使各位可以學到更多知識，如果覺得文章不錯，請把它分享出去讓更多的人看到。