【新闻】腾讯QQ升级程序存在漏洞 被利用植入后门病毒
近日,火绒安全团队根据用户反馈,发现一起利用腾讯QQ升级漏洞植入后门病毒的攻击事件,攻击者可利用该漏洞下发任意恶意代码。截止到目前,最新版QQ(包括TIM、QQ、QQ轻聊版、QQ国际版等等)都存在该漏洞。经分析,该事件中被利用的升级漏洞曾在2015年就被公开披露过,之后腾讯对该漏洞进行修复并增加了校验逻辑。但从目前来看,QQ此处升级逻辑仍存在逻辑漏洞。另外,在排除本地劫持的可能后(LSP、驱动劫持等等),火绒工程师推测可能是运营商劫持或路由器劫持。通过和用户沟通,得知用户曾刷过第三方路由器固件,所以不排除路由器被劫持的可能性,具体劫持的技术分析仍有待后续跟进,火绒安全团队会持续对此次攻击事件进行跟踪分析。由于QQ软件用户群过大,遂漏洞具体细节不便透露。火绒敦促腾讯QQ团队加紧修复,避免问题扩大,如果需要漏洞相关细节,请随时与火绒联系,火绒可向腾讯QQ团队提供详细细节及分析内容。 分析报告火绒近日截获,有黑客正在利用QQ升级程序漏洞进行病毒传播。受害终端网络在被恶意劫持的情况下,黑客可以下发任意恶意代码到本地执行,受到该漏洞影响的QQ软件版本包括:TIM、QQ、QQ轻聊版、QQ国际版等。本次漏洞攻击事件中所使用QQ升级逻辑漏洞早在2015就被公开披露过,QQ升级程序也就当时报出的漏洞进行了修补,但升级代码中依然存在逻辑漏洞。火绒在被劫持现场中发现,QQ升级程序在发送升级请求后,会下载执行名为“txudp.exe”的病毒程序。QQ升级网址被劫持后,下载执行病毒程序。如下图所示:https://www.huorong.cn/d/file/2019-08-18/b86aec97248ddb668d83845f3fad748a.png 后门程序和腾讯升级程序进程关系我们在实验室环境复现了劫持现场,漏洞利用情况如下图所示:https://www.huorong.cn/d/file/2019-08-18/e76195737a9a7b30486c6b9c8333483d.png 漏洞利用现场被黑客劫持后,升级相关的网络请求数据,如下图所示: https://www.huorong.cn/d/file/2019-08-18/faef78a028257f54fcd96445976e19ec.png网络数据“txudp.exe”程序会向http://updatecenter.qq.com/queryselfupdate(IP”61.129.7.17“,百度检索该IP是上海市深圳市腾讯计算机系统有限公司电信节点)服务器POST数据请求更新,POST的XML数据如下: https://www.huorong.cn/d/file/2019-08-18/0201f3fe14a664b1acfaa4e650f05aac.png请求数据内容POST的数据没有问题,但是在网络数据中可以看到一个伪造的回应数据包,该回应包数据包含一个二进制头,在二进制头之后依次是:更新的ZIP包下载地址,ZIP包的MD5校验值,ZIP包大小。数据如下:https://www.huorong.cn/d/file/2019-08-18/c9d3a0b74ff3802500e3ac9a33918d92.png 被劫持后返回的数据图中URLwww.baidu.com/abcload/qq.zip (IP:180.101.49.11)下载的是病毒压缩包“qq.zip”,该压缩包会被下载到用户计算机临时目录,之后解压运行名为“txudp.exe”的病毒程序。 需要说明的是,该URL“www.baidu.com/abcload/qq.zip ”事实上是无效地址,但在被劫持的现场中,对该地址的HTTP GET请求会收到相应的响应包,并且会下载到包含病毒的qq.zip压缩包。另外,在排除本地劫持的可能后(LSP、驱动劫持等等),火绒工程师推测可能是运营商劫持或路由器劫持。通过和用户沟通,得知用户曾刷过第三方路由器固件,所以不排除路由器被劫持的可能性,具体劫持的技术分析仍有待后续跟进,火绒安全团队会持续对此次攻击事件进行跟踪分析。QQ升级模块分析升级程序主要逻辑是:首先将本地QQ软件信息发送到QQ升级服务器,之后根据服务器返回的XML数据下载更新txupd.exe。在早期版本QQ升级程序中,由于下发升级XML数据校验代码中存在漏洞,在2015年版本中已经进行了相应修补,但修复后的升级程序中依然存在逻辑漏洞。QQ升级程序中仅有一处升级内容校验,校验完成后,会下载指定网址中的压缩包,之后验证压缩包MD5,解压执行压缩包中的txupd.exe。相关代码,如下图所示: https://www.huorong.cn/d/file/2019-08-18/9218523b8559b4879eb2e0e76869ce9e.png文件有效性校验被修复的漏洞校验代码,如下图所示:https://www.huorong.cn/d/file/2019-08-18/e50a192a983d8f51ce45dd9aa194b177.png被修复的漏洞代码被下发的病毒模块解压包qq.zip中存放有病毒程序“txupd.exe”,图标是MFC默认图标,和腾讯升级程序图标有明显不同,经火绒工程师分析,该病毒为后门病毒,会收集用户计算机名称、账户名称、处理器信息、系统版本、MAC地址等信息上传到C&C服务器作为主机标识,且具备抓取屏幕截图、执行远程命令等功能。使用火绒剑监控下载到的病毒程序“txupd.exe”会向多个C&C服务器(111.122.86.7、111.120.23.23等)回传获得的用户数据,如下图所示: https://www.huorong.cn/d/file/2019-08-18/7bbe97f41819c00022f90befabf64edd.png后门病毒行为该后门主要功能代码如下:1.收集用户计算机基础信息,相关代码如下图所示: https://www.huorong.cn/d/file/2019-08-18/f3a5f2be8e7b5d9ef86f5327640efd94.png数据收集2.截取用户计算机屏幕功能,相关代码如下图所示: https://www.huorong.cn/d/file/2019-08-18/665c03ec36b008c0a4cd0d07f775edb8.png截取屏幕3.执行远程命令的功能,相关代码如下图所示: https://www.huorong.cn/d/file/2019-08-18/c8266dca4630565d7790e9fcca6f2a95.png执行远程命令这就挺夸张了 诶关键环节掉链子很要命的 帮顶了 不升级是不是就没后门。 火绒工程师推测可能是运营商劫持或路由器劫持。通过和用户沟通,得知用户曾刷过第三方路由器固件,所以不排除路由器被劫持的可能性,具体劫持的技术分析仍有待后续跟进 这代码,看不懂啊 同样表示看不懂 看不懂,确实很可怕 那我们要怎么避免这个问题的发生呢 继续关注后续动态 这样的话微信是否也有这样的风险 如果被滥用简直不堪设想 像我这种业务比较多的,就得注意了 对了,大家之前是否买过斐讯的那个K2路由器? 小黑水太深 发表于 2019-8-24 21:14
对了,大家之前是否买过斐讯的那个K2路由器?
我有个K2P,拿来就刷了老毛子固件 肉也是种潮 发表于 2019-8-24 21:15
我有个K2P,拿来就刷了老毛子固件
嗯讲道理老毛子固件的话应该就没有后门的吧 小黑水太深 发表于 2019-8-24 21:16
嗯讲道理老毛子固件的话应该就没有后门的吧
不知道,我给路由器装了SS,是不是跟我租的服务器有关系 肉也是种潮 发表于 2019-8-24 21:16
不知道,我给路由器装了SS,是不是跟我租的服务器有关系
有可能。你最好还是不要租用成品服务器,提供者会留下什么后门也说不定。自己租一个空VPS来自己搭建要稳妥很多。 肉也是种潮 发表于 2019-8-24 21:16
不知道,我给路由器装了SS,是不是跟我租的服务器有关系
嗯,是的。
你下次可以考虑一下改用anyconnect,具体内容就不方便在这里介绍了,免得跑题了 不明觉厉 原来还可以这样,真是刁钻 我用的广电宽带也喜欢各种劫持广告,我访问京东官网就给我先跳转到一个网盟网站然后再切回来,十分可疑 liu6012 发表于 2019-8-24 21:20
我用的广电宽带也喜欢各种劫持广告,我访问京东官网就给我先跳转到一个网盟网站然后再切回来,十分可疑
不是说广电的宽带就是坑吗 小黑水太深 发表于 2019-8-24 21:20
不是说广电的宽带就是坑吗
没办法,我们家只能选择广电,工信部都没辙。
你有什么好办法过滤掉这些劫持吗?
页:
[1]