当前位置:首页 > 宅科技 > 正文

实战HIPS拦截恶意软件劫持浏览器主页

2016061301

本帖依雷神校园团队售后群内某客户的要求开帖演示,出现技术性错误还请原谅,若有什么问题欢迎与我进行交流讨论
by:慕若曦

首先介绍样本为游迅网的游戏启动器,按照客户的描述,此启动器在运行后会恶意更改用户的浏览器主页为360网址导航

2016061302

上图取自客户,据说是同学使用启动器后浏览器首页被劫持为360网址导航,更改主页无效

2016061303

远程协助了一下,发现使用的是附加启动参数的方法达到了劫持浏览器主页的效果

首先了解一下这种劫持的实质,这种劫持在快捷方式后面加启动参数,当浏览器的启动参数为网址时则认为以浏览器打开目标网站,故达到劫持主页的目标。
实现加参数来启动,需要调用IShellLink和IPersistFile两个COM口,可以在HIPS里禁用这两个COM口达到禁止修改的目的。

2016061305

由于该客户电脑只装了EAV,但是EAV的HIPS并没有COM口保护策略,EAV对HIPS的定义只是辅助。所以上述保护COM的思路行不通。

变换思维,从快捷方式的修改原理出发,由于修改快捷方式的实质为:删除原快捷方式,创建新的快捷方式
故在文件的创建上进行HIPS拦截

分析实质:
创建新的快捷方式,调用头文件shobjidl.h里的IPersistFile中的函数load,其函数原型为:

HRESULT Load(
LPCOLSTR pszFileName, //快捷方式的文件名,ANSI字符编码
DWORD dwMode //读取方式
);

dwMode可取如下值:STGM_READ:只读 STGM_WRITE:只写 STGM_READWRITE:读写
通过IShellLink里的类成员GetArguments获取参数信息,使用SetArguments进行加载;同样,使用GetDescription获得描述信息;使用GetHotkey获得快捷键;使用GetIconLocation获得图标;使用GetIDList:获得快捷方式的目标对象的item identifier list;使用GetPath获得快捷方式的目标文件或目录的全路径;使用GetShowCmd获得快捷方式的运行方式;使用GetWorkingDirectory获得工作目录

则改样本的执行方式为:

(1) 初始化COM接口
(2) 创建IShellLink对象
(3) 从IShellLink对象中获取IPersistFile对象接口
(4) 操作IPersistFile对象
(5) 释放IPersistFile对象接口
(6) 释放IShellLink对象
(7) 释放COM接口

将样本载入OD,脱掉ASP壳后来到OEP,运行样本后在窗口载入事件前下断,F8单步走一次即可看到CoCreateInstance函数调用,证明思路正确。
在EAV添加文件规则

2016061306

启用询问操作,方便操作判断执行者,启用日志,方便判断拦截记录,启用通知用户,方便测试HIPS规则是否正常工作

2016061307

监控删除和写入权限

2016061308

监控任务栏Chrome的快捷方式,路径为:

C:\Users\慕若曦\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk

启用规则,运行样本提示是否拦截,进行阻止

2016061309

说明规则正确

2016061310

打开浏览器,一切正常,主页未被修改,细节化规则并保存退出。


 

欢迎加入电脑问题互助交流,群聊号码:865856349

文章标题:实战HIPS拦截恶意软件劫持浏览器主页
本文作者:慕若曦
发表日期:2016-06-13 09:56 星期一    首发于    暮若夕
本文固定链接: https://www.muruoxi.com/311.html
 
文章标签:
上一篇: 下一篇:

16 条评论

评论加载中...
  1. 14楼
    Clarke   

    真心看不懂,我都不会黑客攻防。

    2016年7月3日 下午3:17 评论
    • 慕若曦   

      无关攻防,属于安全软件的应用,HIPS是基于主机的入侵防御系统,可以拦截软件在你电脑上做出的修改让你去选择

      2016年7月3日 下午10:20 评论
  2. 13楼
    丝袜美腿   

    技术牛人,膜拜

    2016年7月2日 上午10:01 评论
  3. 12楼
    西门吹雪   

    目测大牛。。。。。

    2016年6月30日 上午2:11 评论
  4. 11楼
    个人博客   

    进来看看、了解一下

    2016年6月24日 下午2:58 评论

发表评论

╮( ̄▽ ̄)╭ |  (= ̄ω ̄=) |  (>﹏<) |  Σ( ° △ °|||)︴ |  Σ(っ °Д °;)っ |  X﹏X |  (╯-_-)╯╧╧

小提示:提交评论后刷新本页面即可看到隐藏的文件哦~
十年之约
加载中……