快连VPN:速度和安全性最佳的VPN服务
背景概述
“速浪”家族自2014年起便是国内活跃流氓软件的代表,其早期变种包括“稻草人家族”和“考拉家族”。这一系列软件不仅实施强锁主页、静默推广、强制弹窗等常见流氓行为,其核心恶意功能还包括构建流量暗刷僵尸网络。
近期,金山毒霸的“捕风”威胁感知系统监测到,“速浪”家族秘密构建了一个庞大的VPN暗刷僵尸网络。该病毒程序利用Windows系统的远程访问服务(RAS)连接到云控指定的VPN服务器,并在用户系统中安装开源代理软件Shadowsocks服务端。其目的是通过VPN服务将所有感染用户接入同一虚拟局域网,进而实现网络穿透。
感染用户成为网络代理节点后,不仅会占用大量网络资源进行流量暗刷,更严重的是,感染主机直接暴露在该VPN虚拟局域网内。由于接入密码硬编码在病毒文件中,网络节点间缺乏安全信任关系,任何人都可以伪装接入该僵尸网络,进而接管感染节点或进行内网扫描攻击。
技术分析
以“极速压缩”为例,“速浪”VPN代理木马的整体流程并不复杂。安装包释放“Potity.exe”并注册为系统服务以实现自启动。该模块主要负责联网下载核心模块“tix.exe”并进行循环更新。
初始化配置部分
该部分从模块资源中解压Shadowsocks服务端“ssserver.exe”和RAS连接配置文件“Rasphone.pbk”到程序安装目录。随后,病毒模块修改系统防火墙配置,将自身、代理服务端及代理端口加入放行列表。最后,启动其代理服务端“ssserver.exe”,该程序基于开源项目go-shadowsocks2改造编译,配置选项硬编码在命令行参数中,使用的加密协议为“AES-256-CFB”。
云控工作部分
完成基础文件的释放配置后,病毒进入云控工作部分,首先循环尝试向服务端请求RAS连接的目标服务器IP,设置到配置文件中并通过Rasdial拨号尝试连接到VPN网络。成功建立连接后,病毒程序向服务器报告节点的内网IP和代理端口信息,并通过节点ID与服务器保持循环心跳通信。
安全风险分析
如前文所述,感染用户被“速浪”家族用于流量暗刷造成的安全影响不可忽视,而这一僵尸代理网络架构本身也存在巨大的安全漏洞。黑客可以通过协议探测到所有VPN服务器IP地址,其账号密码及代理密码均硬编码在病毒文件中,接入VPN网络的同时就意味着控制了数十万的代理节点,所有感染系统也暴露在黑客的攻击之下。
通过协议请求获取部分VPN服务器IP后,我们利用端口扫描和无损漏洞探测等技术手段对该僵尸网络的小范围IP段进行了安全评估,结果令人担忧。不仅可以轻易接管控制所有网络代理节点,暴露在内网的部分机器也容易沦为黑客攻击目标。
附录IOC
(*注: 出于安全风险考虑,防止代理僵尸网络被恶意利用,隐去部分敏感信息)
- URL:
- http://yy7.sulang.com:8090/i_nat_c.php
- http://ht.it376.com/cnzz/ssserver.html?soft=jisu
- HASH:
- CD68652698832F531FECE60A2B0055E3
- EA2015F2216DD6DB2127AD96A0EB51A5
- 00B0D1A98DC92403F16950D26E630C68
- 358E8AAFE536791E1E5E257520C4D441
附录参考
- 《违规软件再添新业务,秒变直播僵尸粉刷量造假》
- 链接
声明:本文来自安全豹,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
