-
-
[原创]腾讯QQ升级程序存在漏洞 被利用植入后门病毒
-
发表于: 2019-8-18 21:43
-
【快讯】近日,火绒安全团队根据用户反馈,发现一起利用腾讯QQ升级漏洞植入后门病毒的攻击事件,攻击者可利用该漏洞下发任意恶意代码。截止到目前,最新版QQ(包括TIM、QQ、QQ轻聊版、QQ国际版等等)都存在该漏洞。
经分析,该事件中被利用的升级漏洞曾在2015年就被公开披露过(4f2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2K6k6h3y4H3N6h3I4K6k6g2)9J5k6h3y4G2L8g2)9J5c8X3q4J5j5$3S2A6N6X3g2K6i4K6u0r3x3U0V1&6x3e0u0Q4x3X3g2Z5N6r3#2D9i4@1g2r3i4@1u0o6i4K6R3&6i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1@1i4@1t1&6i4K6S2n7i4@1f1#2i4K6V1H3i4K6S2q4i4@1f1^5i4K6R3#2i4@1u0q4i4@1f1^5i4@1q4q4i4@1q4r3i4@1f1#2i4@1q4r3i4@1t1&6i4@1f1^5i4@1q4r3i4@1p5#2i4@1f1$3i4@1u0o6i4K6S2r3i4@1f1$3i4@1t1@1i4K6W2q4i4@1f1^5i4@1u0r3i4K6W2n7i4@1f1^5i4@1p5I4i4K6S2o6i4@1f1@1i4@1u0r3i4@1q4q4i4@1f1#2i4@1p5@1i4K6S2p5i4@1f1#2i4@1t1&6i4@1t1$3i4@1f1#2i4@1p5J5i4K6W2q4i4@1f1#2i4K6S2m8i4@1p5H3i4@1f1@1i4@1u0m8i4K6R3$3i4@1f1$3i4@1p5H3i4@1p5I4i4@1f1&6i4@1q4m8i4K6S2o6i4@1f1&6i4K6R3H3i4@1u0n7i4@1f1^5i4@1u0q4i4K6V1I4i4@1f1K6i4K6R3H3i4K6R3J5i4@1f1@1i4@1u0p5i4K6R3$3i4@1f1@1i4@1u0n7i4K6S2q4i4@1f1%4i4K6W2n7i4@1q4q4i4@1f1#2i4K6R3&6i4K6S2p5i4@1f1$3i4K6W2p5i4@1p5#2i4@1f1%4i4K6W2o6i4K6S2n7i4@1g2r3i4@1u0o6i4K6S2o6f1g2q4Q4c8e0k6Q4b7f1c8Q4b7e0c8Q4c8e0g2Q4b7e0c8Q4z5o6c8Q4c8e0g2Q4z5p5c8Q4z5o6N6Q4c8e0N6Q4b7V1q4Q4b7e0N6Q4c8e0W2Q4z5o6m8Q4b7V1u0Q4c8e0S2Q4b7V1g2Q4z5e0q4Q4c8e0c8Q4b7V1u0Q4z5p5c8Q4c8e0g2Q4b7f1c8Q4z5e0S2Q4c8e0g2Q4z5f1y4Q4b7e0S2Q4c8e0W2Q4z5o6m8Q4b7V1u0Q4c8e0S2Q4b7V1g2Q4z5e0q4Q4c8e0k6Q4b7V1y4Q4z5p5k6Q4c8e0k6Q4b7U0c8Q4z5f1g2Q4c8e0y4Q4z5o6m8Q4z5o6t1`.
另外,在排除本地劫持的可能后(LSP、驱动劫持等等),火绒工程师推测可能是运营商劫持或路由器劫持。通过和用户沟通,得知用户曾刷过第三方路由器固件,所以不排除路由器被劫持的可能性,具体劫持的技术分析仍有待后续跟进,火绒安全团队会持续对此次攻击事件进行跟踪分析。
由于QQ软件用户群过大,遂漏洞具体细节不便透露。火绒敦促腾讯QQ团队加紧修复,避免问题扩大,如果需要漏洞相关细节,请随时与火绒联系,火绒可向腾讯QQ团队提供详细细节及分析内容。
附:【分析报告】
火绒近日截获,有黑客正在利用QQ升级程序漏洞进行病毒传播。受害终端网络在被恶意劫持的情况下,黑客可以下发任意恶意代码到本地执行,受到该漏洞影响的QQ软件版本包括:TIM、QQ、QQ轻聊版、QQ国际版等。本次漏洞攻击事件中所使用QQ升级逻辑漏洞早在2015就被公开披露过,QQ升级程序也就当时报出的漏洞进行了修补,但升级代码中依然存在逻辑漏洞。
火绒在被劫持现场中发现,QQ升级程序在发送升级请求后,会下载执行名为“txudp.exe”的病毒程序。QQ升级网址被劫持后,下载执行病毒程序。如下图所示:
后门程序和腾讯升级程序进程关系
我们在实验室环境复现了劫持现场,漏洞利用情况如下图所示:
漏洞利用现场
被黑客劫持后,升级相关的网络请求数据,如下图所示:
网络数据
“txudp.exe”程序会向29fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4g2H3k6r3q4@1k6h3y4W2L8Y4c8W2M7W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7i4g2W2M7Y4W2K6k6h3I4X3N6i4m8V1j5i4c8W2i4@1g2r3i4@1u0o6i4K6R3^5d9g2m8Q4c8e0u0Q4z5o6m8Q4z5f1b7$3x3g2)9J5k6e0p5J5z5g2)9J5k6e0N6Q4x3X3f1I4y4#2!0q4x3W2)9^5x3q4)9&6b7#2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4#2)9&6z5g2!0n7c8g2!0q4y4g2!0n7b7g2!0m8y4W2!0q4y4W2!0m8x3#2)9^5x3q4!0q4y4#2!0n7y4q4!0m8x3W2!0q4z5q4!0m8c8W2!0m8y4f1W2b7i4@1f1$3i4K6V1^5i4@1q4r3i4@1f1@1i4@1t1^5i4K6S2m8i4@1f1$3i4@1t1#2i4@1t1%4i4@1f1#2i4@1t1^5i4K6R3J5i4@1f1$3i4@1t1%4i4@1t1I4i4@1f1#2i4K6W2o6i4@1t1K6i4@1f1#2i4@1t1^5i4K6R3J5i4@1f1^5i4K6R3#2i4@1u0q4i4@1f1^5i4@1q4q4i4@1q4r3i4@1f1^5i4@1q4q4i4@1p5I4i4@1f1%4i4@1q4q4i4K6V1%4i4@1f1$3i4K6W2o6i4@1u0m8i4@1f1%4i4@1t1K6i4@1u0n7i4@1f1%4i4@1u0n7i4K6W2r3i4@1f1$3i4K6W2o6i4K6R3&6i4@1f1&6i4K6V1&6i4K6V1H3i4@1f1#2i4K6R3#2i4@1q4o6i4@1f1#2i4K6S2r3i4@1t1^5i4@1f1%4i4K6V1@1i4@1t1#2i4@1f1@1i4@1u0r3i4@1p5I4i4@1f1^5i4K6S2m8i4K6R3J5i4@1f1%4i4K6R3J5i4@1t1&6i4@1g2r3i4@1u0o6i4K6R3&6i4@1f1$3i4K6W2o6i4K6S2p5i4@1f1#2i4K6S2m8i4@1p5I4i4@1f1#2i4K6V1&6i4@1p5^5f1p5!0e0g2q4!0q4y4W2)9&6y4g2!0n7x3q4!0q4y4W2)9^5c8q4!0m8c8g2!0q4z5q4!0m8c8W2!0n7y4#2!0q4y4W2!0n7x3g2)9^5x3W2!0q4y4W2)9&6b7W2!0n7y4q4!0q4y4W2)9&6y4W2!0n7x3q4!0q4c8W2!0n7b7#2)9^5b7#2m8a6f1#2c8Q4c8e0N6Q4z5f1q4Q4z5o6c8j5e0f1I4Q4c8e0k6Q4z5e0g2Q4b7U0m8Q4c8e0k6Q4z5p5c8Q4b7f1g2Q4c8e0g2Q4b7e0k6Q4z5o6u0Q4c8e0c8Q4b7U0S2Q4z5p5u0Q4c8f1k6Q4b7V1y4Q4z5f1p5`.
请求数据内容
POST的数据没有问题,但是在网络数据中可以看到一个伪造的回应数据包,该回应包数据包含一个二进制头,在二进制头之后依次是:更新的ZIP包下载地址,ZIP包的MD5校验值,ZIP包大小。数据如下:
被劫持后返回的数据
图中URL c87K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3u0S2K9h3c8#2i4K6u0W2j5$3!0E0i4K6u0r3j5h3u0U0L8r3!0S2k6q4)9J5c8Y4q4I4i4K6u0W2P5X3W2H3 (IP:180.101.49.11)下载的是病毒压缩包“qq.zip”,该压缩包会被下载到用户计算机临时目录,之后解压运行名为“txudp.exe”的病毒程序。
需要说明的是,该URL“c72K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3u0S2K9h3c8#2i4K6u0W2j5$3!0E0i4K6u0r3j5h3u0U0L8r3!0S2k6q4)9J5c8Y4q4I4i4K6u0W2P5X3W2H3 ”事实上是无效地址,但在被劫持的现场中,对该地址的HTTP GET请求会收到相应的响应包,并且会下载到包含病毒的qq.zip压缩包。
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
