安基网 首页 资讯 安全报 查看内容

体彩福建31选7开奖查询:黑客上演“换头术”:行业知名软件VSDC遭遇劫持攻击

福建31选7app www.aokjz.cn 2018-7-11 00:41| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 360互联网安全中心发现国外知名音视频编辑器VSDC官网(//www.videosoftdev.com)的软件下载链接遭到劫持,通过被劫持的链接下载软件的用户计算机中将被植入窃密木马、键盘记录器和远控木马。遭到劫持的站点访问 ...

360互联网安全中心发现国外知名音视频编辑器VSDC官网(//www.videosoftdev.com)的软件下载链接遭到劫持,通过被劫持的链接下载软件的用户计算机中将被植入窃密木马、键盘记录器和远控木马。

遭到劫持的站点访问量较大

VSDC音视频编辑器在国外小有名气,其官网//www.videosoftdev.com在Alexa全球排名前两万之中。此次遭到劫持的下载链接正是VSDC最为知名的软件Free Video Editor的下载链接(//downloads.videosoftdev.com/video_tools/video_editor_x64.exe和//downloads.videosoftdev.com/video_tools/video_editor_x32.exe),从Alexa给出的搜索热度看,Free Video Editor是搜索热度最高的VSDC产品。

图1 Free Video Editor是搜索热度最高的VSDC产品

正常的下载链接遭替换

这次下载链接劫持事件在三个时段发生。6月19日凌晨1点30分开始发生第一次下载链接劫持;7月2日18点黑客更换了劫持指向的域名后开始第二次劫持,这次劫持规模较小,可能是黑客为后续的行动进行测试;7月6日17点左右开始第三次劫持,劫持指向的域名与第二次劫持相同,此次劫持规模较大。

图2 VSDC下载链接劫持时间线

一般情况下,用户从VSDC下载Free Video Editor是通过页面//www.videosoftdev.com/free-video-editor/download进入的。用户点击页面中的“Download Video Editor”按钮之后,站点将根据用户选择的版本跳转至//downloads.videosoftdev.com/video_tools/video_editor_x64.exe或//downloads.videosoftdev.com/video_tools/video_editor_x32.exe执行下载。然而在此次劫持事件中,当用户点击“Download Video Editor”按钮后页面跳转至hxxp://5.79.100.218/_files/file.php(6月29日发生的劫持)或hxxp://drbillbailey.us/tw/file.php(7月2日之后发生的劫持),并从这两个站点上下载假的Free Video Editor。

图3 下载链劫持发生时与正常情况下对比图

图4 劫持指向的站点

向用户计算机中植入窃密木马、键盘记录器和远控木马

下载链接被劫持时,用户下载的假的Free Video Editor并非exe格式的可执行文件,而是一个Javascript脚本,为了躲避杀毒软件的查杀,脚本进行了多层混淆。解开混淆后的脚本内容如图5所示。

图5 解开混淆后的Jabvascript脚本内容

这段脚本借助Powershell从hxxp://185.25.51.133/_files/file1.exe,hxxp://185.25.51.133/_files/file2.exe和hxxp://185.25.51.133/_files/file3.exe下载三个文件到计算机中执行,这些文件同样经过多层混淆,在下文中将用file1,file2和file3表示这三个文件。

file1是个窃密木马,窃取用户计算机中保存的密码、虚拟货币钱包等敏感信息,包括Electrum钱包、Skype本地存储、Telegram账号密码、Steam账号密码和屏幕截图。这些信息将被发送到hxxp://system-check.xyz/index.php。

图6 file1窃取敏感信息代码截图

file2是一个键盘记录器,会记录用户所有的键盘输入并发送到hxxp://wqaz.site/log/index.php。

图7 file2发送键盘输入代码截图

file3是一个Hidden VNC远控木马。Hidden VNC是在受害用户计算机中创建一个新的Windows桌面以隐藏黑客对计算机鼠标、键盘操作的技术,这项技术被各大流行银行木马所使用。File3也是使用Hidden VNC技术的远控木马,C&C为hxxps://185.25.51.152:443。

图8 file3启动Hidden VNC连接代码截图

攻击不受地域限制,站点疑似已被黑客控制

此次攻击波及三十多个国家和地区,基本可以排除由于地区网络劫持导致下载链接被替换的可能,因此此次攻击更有可能是一起供应链污染攻击。

图9 攻击影响范围,颜色越深的国家或地区受害计算机越多

而在攻击中还出现了更换劫持指向的域名的情况,这更证明了黑客已经控制了VSDC官网并能够随时将下载链接替换为其他地址。从当前的攻击来看,黑客还只是在特定时间对下载链接进行劫持,并未进行持续大规模劫持,不排除黑客在未来发起更大规模攻击的可能。

IOC

url

hxxp://5.79.100.218/_files

hxxp://drbillbailey.us/tw

hxxp://185.25.51.133/_files/file1.exe

hxxp://185.25.51.133/_files/file2.exe

hxxp://185.25.51.133/_files/file3.exe

C&C

hxxp://system-check.xyz/index.php

hxxp://wqaz.site/log/index.php

hxxps://185.25.51.152:443

MD5

10634c295fe55fede571d3a179553131

79113c6fbafa1f0ca67f41189c0b7474

1b804f4e8d6647314532acee66890260

460cd7630f585a01a759826101fb974b


Tag标签:

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6576500892336390660/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
  • 光伏发电平价上网“曙光初现” 2019-04-20
  • 永济:雨天采摘黄花菜 多元增收过端午 2019-04-20
  • 招聘启事丨西部网诚聘新媒体编辑记者、实习编辑等人员 2019-04-20
  • 《关于发展租赁型职工集体宿舍的意见(试行)》正式发布实施 2019-04-19
  • 台生为何青睐大陆高校(两岸聚焦) 2019-04-19
  • 西沙群岛水下考古出新成果 2019-04-19
  • 世界杯热火开赛,火爆荧屏,收视第一 2019-04-18
  • 许巍黄贯中金庆晧领衔 摇滚天团High翻理想音乐节 2019-04-18
  • 回复@大雨582:建议你学学需求层次理论…… 2019-04-18
  • 在端午品味文化的芳香 锐评 2019-04-17
  • 一个“零”价值百万 巧抓足彩14场466万元 2019-04-17
  • 探寻初心之旅 传承红色基因 2019-04-17
  • 人民网评:建设一支生态环境保护铁军 2019-04-16
  • 江西“安全生产月”宣传咨询日活动启动 2019-04-16
  • 《车迹》-奥迪新年道术兼修 2019-04-16
  • 272| 410| 130| 857| 976| 528| 598| 178| 583| 442|