Everything 更新服务疑被劫持

2022-09-07 23:33:28 +08:00

KomeijiSatori

坐标：广东湛江联通

Everything 下载途径来源于官网

直接请求 http://www.voidtools.com/downloads 这个地址有概率直接返回一个 EXE 文件, 同时

http://www.voidtools.com/everything/update.ini 这个地址中的 minor 版本号是 6 （在腾讯云 VPS 上测试返回是 4 ）并且在本地网络环境下请求时 server 字段是 Server: Microsoft-IIS/5.0

在 VPS 上测试返回的是 LiteSpeed

目前观察到运行 EXE 之后会持续与 116.251.65.100:4226 这个地址进行 UDP 通讯

主要行为:

扫描硬盘
访问注册表
快速创建和删除大量临时文件文件样本
UDP 通讯发送包内容全为 0x00 ,但是包长度不固定

EXE 文件样本: https://drive.google.com/file/d/1F7VrK7GR5TlA4DtCjE5780XCqOdmaseJ/view?usp=sharing

9959 次点击

所在节点

宽带症候群

48 条回复

oneisall8955

2022-09-07 23:49:13 +08:00

为啥不是 https ？

KomeijiSatori

2022-09-07 23:50:21 +08:00

@oneisall8955 不知道，点击 Everything - 帮助 - 检查更新，通讯的地址就是这个

iBugOne

2022-09-07 23:56:23 +08:00

上面那个 EXE 文件在 VirusTotal 上的结果：
https://www.virustotal.com/gui/file/c7a6ef3b200620ca31d35b4c184967190fde99548f7137682ae5c63454b5141a/detection

jousca

2022-09-08 00:05:30 +08:00

看来还真是被人劫持了木马程序

Archeb

2022-09-08 01:02:11 +08:00

持续关注

NanoApe

2022-09-08 02:03:54 +08:00

无法复现，要不看看用 HTTPS 还能被劫持吗？

terence4444

2022-09-08 04:25:21 +08:00

自动更新还能 HTTP 是比较严重的安全漏洞了吧

York618

2022-09-08 07:54:33 +08:00

116.251.65.100 ，是吧，阿里云北京 IP 。
应该查得到实名的建议上报王晶之类的
阿里云为什么老出事故，前有上海 ga 后有某人脸识别公司数据泄露？

MoeMoesakura

2022-09-08 08:19:43 +08:00

考虑运营商投毒可能性？

snomiao

2022-09-08 08:46:15 +08:00

chocolatey 渠道安装未能复现

swiftg

2022-09-08 09:44:01 +08:00

四川移动没有被劫持

killva4624

2022-09-08 09:57:36 +08:00

有没有可能是 DNS 投毒

jimmyczm

2022-09-08 10:10:15 +08:00

刚安装了，没发现这个 ip

SunsetShimmer

2022-09-08 10:19:51 +08:00

样本提交卡巴斯基了，这东西的行为好像包括请求微软和一个 Cloudflare 保护的域名，说不定可以向 Cf 举报。

asm

2022-09-08 10:24:44 +08:00

直接访问那个地址，返回一个 exe ，大概率 dns 劫持吧，问题是怎么弄的。

paradoxs

2022-09-08 10:28:33 +08:00

怕什么呀，我们 windows 自带了安全软件 Defender ，所以根本就不用怕！

paradoxs

2022-09-08 10:32:28 +08:00

那些用 mac os 的，如果遇到这样的恶意软件，根本就手足无措，因为 mac os 系统没有自带安全软件，这也是苹果对系统安全的漠视带来的惨痛结果。

KomeijiSatori

2022-09-08 10:45:38 +08:00

@asm DNS 结果没有问题，感觉可能是运营商劫持

dasdcasd

2022-09-08 10:57:10 +08:00

你这是遇到 APT 了 2333
我根据木马样本包含的字符串追踪到了一个极为相似的历史木马样本
两者代码结构和命名方式都即为相似
https://www.hybrid-analysis.com/sample/1e9fc7f32bd5522dd0222932eb9f1d8bd0a2e132c7b46cfcc622ad97831e6128/617b7a1c54d0d627e6115d93
https://app.any.run/tasks/87f12d0c-9877-483b-aded-a00f59ec82bf/ 可以从 any.run 下载样本
该木马出现在一个安全报告中
https://www.stormshield.com/news/security-alert-windealer-stormshield-response/
木马家族命名为 WinDealer
https://teamt5.org/en/posts/japan-security-analyst-conference-2022/
https://jsac.jpcert.or.jp/archive/2022/pdf/JSAC2022_7_leon-niwa-ishimaru_en.pdf

https://www.hake.cc/page/article/3881.html
"中国罗宇黑客利用旁人攻击部署 WinDealer 后门"
这个马的传播方法非常高级通过劫持骨干网路由器替换更新文件进行木马植入

Tumblr

2022-09-08 11:10:30 +08:00

@KomeijiSatori #18 同湛江联通，自动更新正常，没被劫持，测试了 2 个版本：
- Version 1.4.1.1018 (x64)
- Version 1.5.0.1317

第 1 页／共 3 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/878475

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.