详细内容或原文请订阅后点击阅览
HotPage:签名、易受攻击、广告注入驱动程序的故事
对复杂的中国浏览器注入器的研究为更多机会打开了大门!
来源:WeLiveSecurity _恶意软件恶意软件研究涉及研究威胁参与者TTP,映射基础架构,分析新技术……而这些研究中的大多数都以现有研究为基础,但有时它们是从hunch开始的,看起来太简单了。在2023年底,我们偶然发现了一个名为hotpage.exe的安装程序,该安装程序部署了能够将代码注入远程进程的驱动程序,并且两个能够拦截和篡改浏览器网络流量的库。恶意软件可以修改或替换请求页面的内容,将用户重定向到另一页,或根据某些条件在新标签中打开新页面。
hotpage.exe大多数安全产品都检测到安装程序作为广告软件组件,但是真正引起我们兴趣的是Microsoft签名的嵌入式驱动程序。根据它的签名,它是由一家名为湖北盾网网络科技有限公司(机器翻译:Hubei Dunwang Network Technology Co.,Ltd)的中国公司开发的,缺乏有关哪些有趣的信息。分销方法仍不清楚,但根据我们的研究,该软件被广告宣传为旨在说中文个人的“InternetCafé安全解决方案”。它声称可以通过阻止广告和恶意网站来改善网络浏览体验,但现实却大不相同 - 它利用其浏览器流量拦截和过滤功能来显示与游戏相关的广告。它还将有关计算机的一些信息发送到公司的服务器,最有可能收集安装统计信息。
在其明显的顽皮行为之上,该内核组件无意间为其他威胁打开了门,以在Windows操作系统中可用的最高特权级别运行代码:系统帐户。由于对该内核组件的访问限制不当,因此任何过程都可以与之通信并利用其代码注入能力来针对任何非保护过程。
系统 th st win {32 | 64}/hotpage.a win {32 | 64}/hotpage.b g数据 nd