Everything 更新服务疑被劫持

2022-09-07 23:33:28 +08:00
 KomeijiSatori

坐标:广东湛江联通

Everything 下载途径来源于官网

火绒剑记录 https://pastes.dev/kcGpECGygk

直接请求 http://www.voidtools.com/downloads 这个地址有概率直接返回一个 EXE 文件, 同时

http://www.voidtools.com/everything/update.ini 这个地址中的 minor 版本号是 6 (在腾讯云 VPS 上测试返回是 4 ) 并且在本地网络环境下请求时 server 字段是 Server: Microsoft-IIS/5.0

在 VPS 上测试返回的是 LiteSpeed

目前观察到运行 EXE 之后会持续与 116.251.65.100:4226 这个地址进行 UDP 通讯

主要行为:

EXE 文件样本: https://drive.google.com/file/d/1F7VrK7GR5TlA4DtCjE5780XCqOdmaseJ/view?usp=sharing

10071 次点击
所在节点    宽带症候群
48 条回复
zhengrt
2022-09-09 16:01:11 +08:00
@ZeroKong 赞同
@Danswerme 你来说
respawn
2022-09-10 01:55:42 +08:00
出于软件自动更新会有残余的考虑,该软件从来都是官网下载,校验官网的 sha256 ,目前没中招,同联通。
elboble
2022-09-10 06:15:16 +08:00
看了楼上 BlackBerry 的报告,两点印象深刻
1,这个方法应该是是从斯诺登泄漏 nsa 资料后被 luoyu 学到的。
2,只感染 win 平台。
YamatoRyou
2022-09-10 18:25:57 +08:00
行为上有点像腾讯在 2016 年曝光的 DCM 木马.
techon
2022-09-11 01:43:59 +08:00
能做到运营商级流量劫持的,国内应该没有第二家了。
不过这也符合现实逻辑,就像 GFWer 可能会为了利益私下造梯子并打击同行一样(纯个人猜测,不喜勿喷)
yuange1975
2022-09-16 05:54:57 +08:00
针对 everything 更新劫持的 apt 攻击事件解析
https://mp.weixin.qq.com/s/30xXiia0USjyWeFv9Dvxmg
KomeijiSatori
2022-09-16 15:04:54 +08:00
@yuange1975 被删了
yuange1975
361 天前
@KomeijiSatori https://web.archive.org/web/20220914144648/https://mp.weixin.qq.com/s/30xXiia0USjyWeFv9Dvxmg

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/878475

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX