玄虚

近期，金山毒霸安全施行室通过“捕风”挟制感知系统的监控数据，跟踪发现一款名为“心跳助手”的安卓手游模拟器软件清除流量暗刷类病毒。相比绝顶的是，病毒宿主进度被同期镶嵌两套流量暗刷插件，经过病毒特征同源性分析黑丝 色情，咱们阐发这两套木马插件别离是”JsCtrl”和”老到衣”两大暗刷病毒家眷的最新变种，正如神话中的”双生花”，一株二艳，并蒂双花，在并吞个枝蔓上相生相杀，是以咱们将本次爆发传播的流量暗刷木马定名为”双生花”家眷。

”双生花”暗刷病毒家眷包含的两套插件是十足不同的竣事机制，其早期变种的传播也莫得太多的交叉点。从咱们的监控数据看，其中的”JsCtrl”变种通过JS剧本下载刷量模块到腹地内存加载扩充，主要针对主义为58同城、百度糯米、百度的告白延伸和SEO名次优化；另外一款“老到衣”变种通过多层的内存模块加载开释后，应用内嵌的浏览器内核和松鼠剧本引擎squirrel来操作加载模拟点击，主要针对主义为爱奇艺、优酷、PPTV等主流视频站点，通过暗刷视频播放量从各大视频平台赚取告白本色分红。

两大暗刷木马家眷同期驻足”心跳助手”这款平方软件竣事”借尸还阳”，天然”双生花”暗刷木马的配合传播内幕现在尚不十足明晰，但从某种角度来看，这应该算得上一次变相的软件供应链袭击，从” Putty后门事件”、”XcodeGhost开辟器具玷辱”到”Xshell后门”， 软件供应链袭击案例无独有偶，官方软件是否真的真确，正规软件身份的曲直鸿沟也越来越恶浊，以本次”双生花”暗刷病毒家眷的传播为例，把柄咱们的监控数据回溯，本次传播袭击从18年4月初运行出现，早期变种只包含”JsCtrl”变种，到1.1.18版块运行加入”老到衣”最新变种。凭借正规软件外壳，隐蔽性极强，通过内存加载和剧本机制竣事全程无落地文献袭击，在国内多家安全软件的眼皮下，本次”双生花”家眷的传播袭击时辰跨度已接近半年。

另外，”流量暗刷”这种袭击行为一直皆是黑产流量变现的迫切渠谈本领之一，差错流量也在互联网的各个行业渠谈皆能看到身影，关于居品交易、业务安全的毁坏影响之重已无需多言。关于居品厂商而言，这么的模拟流量暗刷袭击基本上圆善模拟了用户的操作过程，从管事端进行灵验玩忽识别相等艰巨，安全计谋会被时常绕过，从咱们的监控数据看，近期针对各大告白平台、资讯平台、视频平台的流量袭击愈发泛滥，咱们也相等接待爱奇艺、优酷、PPTV、58同城、百度糯米等受影响厂商与咱们关系(调节咱们的官方微信号” yucunsafe”恢复即可)，共同处理此类业务安全问题。现在，金山毒霸支援抑制和查杀该病毒。

正文1、主模块分析

病毒模块加载和扩充流如下图所示：

管事进度Xintiao_Service.exe（签名：Beijing Shouyou Duanxiang TechnologyCo.， Ltd.；版块号：1.1.18.4486）以参数“daemon=1”启动将下载解密扩充JS剧本，通过剧本去下载和扩充刷量插件1；以参数“daemon=2”或“module1”启动将下载解密加载刷量插件2（老到衣变种）；

2、刷量插件11、Xintiao_Service.exe

以参数daemon=1启动将看望连结hxxp://mnq2.xintiao365.com/tj?times**p=&id=下载加密的JS剧本并解密扩充，在剧本中完成后续模块的下载扩充；

剧本引擎通过MSScriptControl.ScriptControl添加对象模子checkstate，使得剧本不错扩充自界说的对象挨次。

checkstate的挨次界说如下图所示，其中HashCls是调用CalcHash.dll的导出函数CalcHash解密并内存加载PE模块；

2、JS剧本

整理后的剧本如下：主邀功能是检测调试分析进度，检测不到则上报并下载扩充刷量插件；

检测checkstate的全局变量xc和xy选拔加载test_vmok.dll或者phantomjs.exe；其中phantomjs.exe的下载连结是hxxps://c.wecheng99.com/cfg.db，test_vmok.dll的下载连结是hxxps://c.wecheng99.com/ver_cfg.db；

下载完成后文献保存到%TEMP%\WinRAR\ac71bf8b-XXX.db（XXX是文献大小）；并调用checkstate.HashCls插足CalcHash.dll的导出函数HashCls进行解密加载。

剧本扩充过程中会写如下注册表标志：

[HKCU\Software\Microsoft\kccloud]

start：现时时辰

ac71bf8b-XXX.db：”123”

[HKCU\Software\Microsoft\Wisp]

cfg：加密后的URL “hxxp://k.biubiang.com:8124/apifour/getlink”

[HKLM\Software\WinRAR]

state：加密后的URL” hxxps://c.wecheng99.com/phantomjs.js”

3、test_vmok.dll

test_vmok.dll在dllmain中看望连结hxxp://k.biubiang.com:8124/apifour/getlink获取刷量确立，本色和时势如下：

其中script是刷量剧本连结，url_list是被刷量的网页连结；通过添加参数host_id=%d不错获取对应确切立。然后下载script剧本文献，看望url_list中的连结并在页面中插入扩充script剧本进行刷量。

4、phantomjs.js

phantomjs.exe加载后会读取注册表[HKLM\Software\WinRAR]下的值state，解密得到连结hxxps://c.wecheng99.com/phantomjs.js；然后下载并扩充主控剧本；

loop函数率先看望hxxp://47.105.34.235:8125/apithird/getlink获取刷量确立json数据，然后领略json并下载刷量剧本；

getscript()下载刷量剧本并开辟定时器checkkeyword，checkkeyword()领略要害词并看望刷量主义页面；

viewpage先判断TEMP目次下是否存在uag36.dat，不存在则看望连结hxxp://182.92.228.27/cache.php?f=uag下载然后开辟定时器viewpage；

如果存在uag36.dat，则解密该文献得到剧本并扩充，本色如下：

然后调用initpage()加载页面，在onLoadFinished()挨次中扩充刷量剧本;

5、刷量分析

test_vmok确切立连结为hxxp://k.biubiang.com:8124/apifour/getlink，jiejiese主要刷58同城告白及部分视频告白；phantomjs确切立连结为hxxp://47.105.34.235:8125/apithird/getlink，主要刷58同城、百度糯米、百度的搜索名次优化。

1、通过遍历host_id获取test_vmok统统刷量确立：

一共37个确立，24个不同的刷量剧本连结，url_list大部分是58同城的告白、部分视频播放页；url_list中的连结操作如下：

2、通过遍历host_id获取phantomjs统统刷量确立：

一共67个确立，17个不同的刷量剧本连结，43个不同的url_list；url_list大部分是58同城房产的挪动端页面、部分是百度糯米挪动端页面；

3、以test_vmok的告白刷量剧本为例：

每个刷量剧本大同小异，前边大部分代码是相通的，如获取环境信息、禁用部分API、领略网页iframe获取连结、点击连结等；

主函数主淌若开辟定时器__baseload，扩充中枢的刷量功能；

__baseload()领略页面元素，分多个挨次开辟定时器模拟点击告白完成刷量；每个挨次的具体行为把柄主义网页上要刷的告白制定；

3、刷量插件21、Xintiao_Service.exe

以参数module1启动将下载hxxp://t.meixinpic.com/cnzz/paras.dat，RC4解密出InProc.dll模块后平直内存加载并调用导出函数Load插足后续经过；

2、InProc.dll

1、 Load函数先进行反调试检测，通过检测则陆续解密和加载内置dll，不然收尾：

A.    调试器检测：

存在开关文献C:\Wabj**_yyyy_mm_dd.ya!则不进行检测，yyyy_mm_dd为日历时势；不然罗列进度检测是否存在如下调试分析进度；

B.    凭空机检测：

1.     通过MAC地址特征判断Vmware凭空机；

2.     通过检测进度vmtoolsd.exe或wmacthlp.exe，判断Vmware凭空机；

C.    IP地址地舆位置检测：

把柄IP地址获取地舆位置，判断是否在北京、上海、深圳、珠海四个城市；

2、 通过反调试检测后，异或0xAB解密内置InProcStub.dll；创建并挂起傀儡进度svchost.exe，注入InProcStub.dll，调用其88号导出函数ForkTask；

3、 终末创建线程上报数据：

率先看望dh.alyun.cn获取加密确切立连结，解密后如下：

并将加密确切立连结保存到注册表[HKCU\Software\Microsoft\WindowsScript\Settings\Domains]-[data]下，后续使用该注册表值当作确立连结；

再查找包含inproc确切立连结，不存在则使用默许连结pz.nidie.net/mm3/up/inproc.php；终末蚁合本机信息生成如下url上报：

pz.nidie.net/mm3/up/inproc.php?sid=554&d=d940d7b321915b1dc46a69d7b14bafbae611b456678223167a8e0a06ccf6133931c73fa7ca698025aa9e7f6ca60c07f8344b79f90704e7b71ab5d458eee6080709db80a53fcd8dd8f3364f465c8c27；

其中参数d是数据“packid=554&mid=888&sid=88&x64=0&sysver=5.1.2600&mac=00-0C-29-C5-B5-0E&daystat=1”的RC4加密字符串（发送肯求加密key= “$GiveMe$”，罗致数据解密key=” GiveMe$!”，下同）；

3、InProcStub.dll

1、 InProcStub的导出函数ForkTask先解密内置模块innerfunc.dll黑丝 色情，通过shellcode加载并调用其888号导出函数QueryFunctions得到接口；

2、 然后调用接口的第29个函数，经过插足innerfunc.dll；

4、innerfunc.dll

1、 创建线程，看望连结pz.nidie.net/mm2/up/?sid=554&d=d11780e578d3104d83637f；其中参数d是“x64=0&ver=0”RC4加密后的字符串；复返加密确切立信息，RC4解密后如下（key=” GiveMe$!”）：

2、 领略复返确切立信息，把柄系统版块下载对应的汉典模块；

3、 RC4解密并加载汉典模块remote_stub.dll，并调用其导出函数：

4、 将下载的加密模块写入注册表[HKLM\Software\Tencent\bugReport\QQ\<packid>]-[cache32]保存，下次先读取注册表数据解密加载，失败再重新下载；

5、remote_stub.dll

1、 导出函数RemoteModInit率先判断现时进度名是否为explorer.exe、svchost.exe、test_remote_stub.exe；是则创建线程进行后续行为，不然平直复返；

2、 在线程中看望底下连结获取确立：pz.nidie.net/mm3/up/modup.php?sid=554&d=d940d7b321915b1dc46a69d7b14bafb2f85afb4133d6384a23d1014499bf1e2e64c67ae5922b9b63fddc273be20102f0680428f20704ecea38fbdb51f3880d6966dc94b839dec4fbbf680b620edd79821db7d8eb417671c27ff8aa0f6739a9ab09d0af；其中参数d是数据“packid=554&mid=0&sid=0&daystat=0&x64=0&sysver=5.1.2600&mac=00-0C-29-C5-B5-0E&loc=XX省XX市”的RC4加密字符串；

复返确立数据RC4解密后如下：

3、 把柄确立下载刷量模块stub和刷量剧本config；况且保存到注册表[HKEY_CURRENT_USER\Software\Tencent\QQ\Mods]下；下次将从注册表中读取，读取失败再重新下载；

4、 stub和config解密后是zip压缩文献，其中stub解压后是刷量模块：autoie32.dll、autoie64.dll；config解压后是.nut时势的剧本文献；

5、 然后加载autoie32.dll，并调用导出函数QueryNotifyInterfaceEx获取接口，终末调用接口扩充刷量剧本；

6、刷量分析

刷量模块内置圆善的浏览器内核并集成松鼠剧本引擎squirrel 3.1版，（一种肖似lua的加强版剧本言语，官网www.squirrel-lang.org）；通过剧本左右竣事网页告白和视频点击刷量；

各剧本功能讲解如下：

  剧本文献名    主邀功能    2124dh.nut    2124导航刷量    2345.nut    2345导航刷量    cnzz.nut    cnzz统计    infostream.nut    学问屋刷量    iqiyisite.nut    爱奇艺视频和告白刷量    pptv.nut    pptv剧集视频刷量    pptv_site.nut    pptv网站自媒体视频刷量    soulady.nut    搜女郎刷量    youku.nut    优酷视频和告白刷量    inproc.nut    无具体功能    outproc.nut    任务左右剧本    multiproc.nut    多任务左右剧本  

剧本竣事了网页事件回调函数，通过开辟定时器来领略网页元素，获取视频或告白的连结并进行模拟点击看望，竣事刷量。

以优酷为例，剧本youku.nut竣事了对应的视频刷量机制。针对刷量过程中看望的各页面皆界说了单独的类来处理网页事件。

1、 率先main函数先撤废cookies温柔存数据，再新建entrywindow类，调用navigate挨次看望URL；

2、 entrywindow 秉承引擎内置浏览器类ieutil.browser，通过重载事件回调拿获网页事件并开辟定时器模拟点击行为；当调用navigate加载网页完结时触发onDocumentComplete或onNavigateComplete事件，开辟定时器init；

3、 init定时器挨次如下：通过领略网页元素得到视频的URL，并开辟线程定时器visitVideo看望视频播放页进行刷量；

4、 visitVideo定时器挨次如下：新建类youkuwin，调用navigate挨次看望视频URL;并相通开辟visitVideo定时器看望并吞个视频直到maxVisit次；

5、 youkuwin相通秉承引擎内置浏览器类ieutil.browser；当网页加载完结时触发onDocumentComplete或onNavigateComplete事件，开辟定时器init模拟点击播放页告白；当触发onNewWindow事件时，调用adwin类navigate挨次看望弹窗告白；

6、 定时器init又创建2个定时器scroll和toclose；scroll定时器升沉网页点击播放视频、暂停视频、点击告白完成刷量；toclose则关闭网页收尾该视频连结的刷量。

模拟点击的告白如下：

7、针对弹窗告白的adwin类和minshowwindow类的竣事和上头肖似，不再赘述；

其他网站的刷量机制同理，具体竣事细粗略有不同，也不再赘述。

7、刷量连结整理

优酷

叨剧柴可夫（视频播放数：415万，粉丝数：11.4万，视频数：97）

hxxps://i.youku.com/i/UMTY3MzMxMzUwMA==/videos

PPTV

咖妃说文娱（播放量：3316.8万，粉丝量：1.33万，视频数：72）

hxxp://pgc.pptv.com/upgc/?username=k3CVbpRplmhoY5+SZ21jaWlplm9n#video

老烟斗鬼故事hxxp://pgc.pptv.com/upgc/?username=k3CUap1gnG9mZJySZ21ibmpooms=#video

叨剧柴可夫

hxxp://pgc.pptv.com/upgc/?username=mm6WbJpik2loYA==#video

校长说

hxxp://pgc.pptv.com/upgc/?username=k2iWbZVlmGtoYQ==#video

不竭密室

hxxp://v.pptv.com/show/pibDNS7MZiaccqqBA.html?rcc_id=2018052032

开封府

hxxp://v.pptv.com/show/t9TPTJ785iaSHBW0.html?&rcc_id=2018072098

爱奇艺

《闺蜜说》第一季

hxxp://www.iqiyi.com/u/1187952588/v

咖妃说文娱

hxxp://www.iqiyi.com/u/2459940611/v

校长说

hxxp://www.iqiyi.com/u/1458122074/v

蜗牛看西游88

hxxp://www.iqiyi.com/u/1333649153/v

女魔头驾到频谈

hxxp://www.iqiyi.com/u/1433074399/v

减脂磨真金不怕火营

hxxp://www.iqiyi.com/u/1446769852/v

胖子行动队在线观看44

快看电影

hxxp://www.iqiyi.com/u/2023137129/v

家有宝宝视频

hxxp://www.iqiyi.com/u/2492080645/v

赋闲上班狗

hxxp://www.iqiyi.com/u/1231160129/v

星云视点

hxxp://www.iqiyi.com/u/1241481140/v

新快看好书

hxxp://www.iqiyi.com/u/1304751490/v

Friday剑玉俱乐部

hxxp://www.iqiyi.com/u/1351112050/v

其他

搜女郎

hxxp://www.soulady.net/

QQ头像

hxxps://www.qqtouxiang.com

学问屋

hxxp://www.zhishiwu.com

2345导航

hxxp://www.2345.com/?39006

2124导航

hxxp://www.2124.cn

cnzz统计：

hxxp://t.meixinpic.com/cnzz/6.html

统计连结：hxxp://www.cnzz.com/stat/website.php?web_id=1260947146

hxxp://t.meixinpic.com/cnzz/3.html

统计连结：hxxp://www.cnzz.com/stat/website.php?web_id=1261868857

附录IOC:

136A821EDE570CAC1AAA7E0CEC411EB1

0F7F48867EF568A42DDF5AC646B0E157

8076BC98C013F93B1DCA34901DE8D19E

hxxp://mnq2.xintiao365.com/tj?times**p=&id=

hxxps://c.wecheng99.com/ver_cfg.db

hxxps://c.wecheng99.com/cfg.db

hxxps://c.wecheng99.com/phantomjs.js

hxxp://182.92.228.27/cache.php?f=uag

hxxp://k.biubiang.com:8124/apifour/getlink

hxxp://47.105.34.235:8125/apithird/getlink

hxxp://jp.mm50mm.com/view/mult/view_mybox_wulaiyuan.asp?click_rate=&t=1

hxxp://mdl.qdd88888.com/view/dword/view_detail_vv31.asp?click_rate=&t=1

hxxp://mdl.qdd88888.com/view/mult/detail_china_low.asp?click_rate=&t=1

hxxp://mdl.qdd88888.com/view/mult/view_58_detail_kdy07.asp?click_rate=&t=1

hxxp://mdl.qdd88888.com/view/mult/view_bofeng_ad27.asp?click_rate=&t=1

hxxp://mdl.qdd88888.com/view/mult/view_detail_low.asp?click_rate=&t=1

hxxp://mdl.qdd88888.com/view/mult/view_detail_yk.asp?click_rate=&t=1

hxxp://mdl.qdd88888.com/view/mult/view_detail_yk_0615ex.asp?click_rate=&t=1

hxxp://mdl.qdd88888.com/view/mult/view_detail_yk_low.asp?click_rate=&t=1

hxxp://mdl.qdd88888.com/view/mult/view_easy.asp?click_rate=&t=1

hxxp://mdl.qdd88888.com/view/mult/view_easybu.asp?click_rate=&t=1

hxxp://mdl.qdd88888.com/view/mult/view_houyi_baofeng_4.asp?click_rate=&t=1

hxxp://mdl.qdd88888.com/view/mult/view_mybox_wulaiyuan.asp?click_rate=&t=1

hxxp://mdl.qdd88888.com/view/mult/view_qiye.asp?click_rate=&t=1

hxxp://mdl.qdd88888.com/view/mult/view_qiye_low.asp?click_rate=&t=1

hxxp://mdl.qdd88888.com/view/mult/view_qiye_lowex.asp?click_rate=&t=1

hxxp://mdl.qdd88888.com/view/mult/view_yuanshi_inetyouxia.asp?click_rate=&t=1

hxxp://mdl.qdd88888.com/view/mult/viewbaofeng_zuoce_0929_low.asp?click_rate=&t=1

hxxp://mdl.qdd88888.com/view/view_iqiyi.asp?click_rate=&t=1

hxxp://mdl.qdd88888.com/view/view_pt.asp?click_rate=&t=1

hxxp://thd.mm50mm.com/view/mult/viewbaofeng_youce.asp?click_rate=&t=1

hxxp://thd.mm50mm.com/view/mult/viewbaofeng_zhongbu.asp?click_rate=&t=1

hxxp://thd.mm50mm.com/view/mult/viewbaofeng_zuoce.asp?click_rate=&t=1

hxxp://thd.mm50mm.com/view/view_iqiyi.asp?click_rate=&t=1

hxxp://mob.zkk7.com:8065/ss/cache.php?f=stay20

hxxp://mob.zkk7.com:8065/ss/cache.php?f=58scriptv3-high-0505

hxxp://mob.zkk7.com:8065/ss/cache.php?f=58scriptv2-100-fix1-0507-high

hxxp://mob.zkk7.com:8065/ss/cache.php?f=58scriptv3-zp-open-fangchan

hxxp://mob.zkk7.com:8065/ss/cache.php?f=wbscriptv2-100-fix-fuchuang-0511-high-lowjob

hxxp://mob.zkk7.com:8065/ss/cache.php?f=nuomi12

hxxp://mob.zkk7.com:8065/ss/cache.php?f=wbscriptv2-100-fix1-0519-mid

hxxp://mob.zkk7.com:8065/ss/cache.php?f=wbscriptv2-100-fix1-0605-ludashi-lowjob

hxxp://mob.zkk7.com:8065/ss/cache.php?f=58scriptv2-0-fix4

hxxp://mob.zkk7.com:8065/ss/cache.php?f=nuomi10

hxxp://mob.zkk7.com:8065/ss/cache.php?f=nuomi15

hxxp://mob.zkk7.com:8065/ss/cache.php?f=nuomi4

hxxp://mob.zkk7.com:8065/ss/cache.php?f=nuomi6

hxxp://mob.zkk7.com:8065/ss/cache.php?f=58scriptv2-100-fix1-0505

hxxp://mob.zkk7.com:8065/ss/cache.php?f=wbfuchuang20180814

hxxp://mob.zkk7.com:8065/ss/cache.php?f=hao123tobaiduv1_keycheck_historyfix

hxxp://mob.zkk7.com:8065/ss/cache.php?f=baiduentry

hxxp://gjc.mm50mm.com/inetsvr.php?id=11

hxxp://thd.mm50mm.com/view/loop_read_appexa.aspx

dh.alyun.cn

hxxp://pz.nidie.net/mm/nv/a/

hxxp://pz.nidie.net/mm/up/

hxxp://pz.nidie.net/mm2/up/

hxxp://pz.nidie.net/mm/fd/

hxxp://pz.nidie.net/mm3/up/modup.php

hxxp://pz.nidie.net/mm2/up/modup.php

hxxp://pz.nidie.net/mm/se.php

hxxp://pz.nidie.net/mm/qd/instat.php

hxxp://pz.nidie.net/mm/brushflow/nv/

hxxp://dh.xhongxiu.net/mm/nv/a/

hxxp://stat.ssbutqi.com/s.php

hxxp://inapi.xxwqiq.net/index.php

hxxp://t.meixinpic.com/cnzz/paras.dat

hxxp://dl.nidie.net/mods/autoie/conf/18081001.png

hxxp://aylld.com/dl/mods/autoie/stub/18071801.png

hxxp://aylld.com/dl/rt/18070501/Rt32.gif

hxxp://aylld.com/dl/rt/18070501/Rt64.gif

[培训]内核驱动高档班黑丝 色情，冲击BAT一流互联网大厂责任，每周日13:00-18:00直播讲课