当前位置:首页 > 宅科技 > 正文

实战HIPS拦截恶意软件劫持浏览器主页

2016061301

本帖依雷神校园团队售后群内某客户的要求开帖演示,出现技术性错误还请原谅,若有什么问题欢迎与我进行交流讨论
by:慕若曦

首先介绍样本为游迅网的游戏启动器,按照客户的描述,此启动器在运行后会恶意更改用户的浏览器主页为360网址导航

2016061302

上图取自客户,据说是同学使用启动器后浏览器首页被劫持为360网址导航,更改主页无效

2016061303

远程协助了一下,发现使用的是附加启动参数的方法达到了劫持浏览器主页的效果

首先了解一下这种劫持的实质,这种劫持在快捷方式后面加启动参数,当浏览器的启动参数为网址时则认为以浏览器打开目标网站,故达到劫持主页的目标。
实现加参数来启动,需要调用IShellLink和IPersistFile两个COM口,可以在HIPS里禁用这两个COM口达到禁止修改的目的。

2016061305

由于该客户电脑只装了EAV,但是EAV的HIPS并没有COM口保护策略,EAV对HIPS的定义只是辅助。所以上述保护COM的思路行不通。

变换思维,从快捷方式的修改原理出发,由于修改快捷方式的实质为:删除原快捷方式,创建新的快捷方式
故在文件的创建上进行HIPS拦截

分析实质:
创建新的快捷方式,调用头文件shobjidl.h里的IPersistFile中的函数load,其函数原型为:

HRESULT Load(
LPCOLSTR pszFileName, //快捷方式的文件名,ANSI字符编码
DWORD dwMode //读取方式
);

dwMode可取如下值:STGM_READ:只读 STGM_WRITE:只写 STGM_READWRITE:读写
通过IShellLink里的类成员GetArguments获取参数信息,使用SetArguments进行加载;同样,使用GetDescription获得描述信息;使用GetHotkey获得快捷键;使用GetIconLocation获得图标;使用GetIDList:获得快捷方式的目标对象的item identifier list;使用GetPath获得快捷方式的目标文件或目录的全路径;使用GetShowCmd获得快捷方式的运行方式;使用GetWorkingDirectory获得工作目录

则改样本的执行方式为:

(1) 初始化COM接口
(2) 创建IShellLink对象
(3) 从IShellLink对象中获取IPersistFile对象接口
(4) 操作IPersistFile对象
(5) 释放IPersistFile对象接口
(6) 释放IShellLink对象
(7) 释放COM接口

将样本载入OD,脱掉ASP壳后来到OEP,运行样本后在窗口载入事件前下断,F8单步走一次即可看到CoCreateInstance函数调用,证明思路正确。
在EAV添加文件规则

2016061306

启用询问操作,方便操作判断执行者,启用日志,方便判断拦截记录,启用通知用户,方便测试HIPS规则是否正常工作

2016061307

监控删除和写入权限

2016061308

监控任务栏Chrome的快捷方式,路径为:

C:\Users\慕若曦\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk

启用规则,运行样本提示是否拦截,进行阻止

2016061309

说明规则正确

2016061310

打开浏览器,一切正常,主页未被修改,细节化规则并保存退出。


QQ群号:543825203[电脑问题互助交流]

文章标题:实战HIPS拦截恶意软件劫持浏览器主页
本文作者:慕若曦
发表日期:2016-06-13 09:56 星期一    首发于    暮若夕
本文固定链接: https://www.muruoxi.com/311.html
 
文章标签:
上一篇: 下一篇:

16 条评论

评论加载中...
  1. 14楼
    长安   

    注册表应该可以直接解决

    2016年6月13日 下午1:11 评论
  2. 13楼
    见识多   

    过来看看老朋友。

    2016年6月13日 下午5:10 评论
  3. 12楼
    姜辰   

    技术大师~~佩服佩服

    2016年6月13日 下午8:56 评论
  4. 11楼
    奇草导航   

    下午好。游戏人间。

    2016年6月14日 下午3:38 评论
  5. 10楼
    青涩   

    那个啥犀利。。。是ESP定律哦(>﹏<)

    2016年6月15日 上午9:47 评论
    • 慕若曦   

      噗,ASP壳,这下没错了吧

      2016年6月15日 下午1:44 评论
  6. 9楼
    微历史   

    什么鬼呀,第一次了解

    2016年6月16日 上午7:18 评论
  7. 8楼
    夏天烤洋芋   

    迅游网不要脸的。破解游戏还加那么多广告。

    2016年6月16日 下午2:24 评论
  8. 7楼
    Crazy青涩   

    QAQ原来ESET还可以这样玩啊(~ ̄▽ ̄)~

    2016年6月17日 下午12:37 评论
  9. 6楼
    夏日博客   

    好高深的拦截。

    2016年6月17日 下午4:52 评论
  10. 5楼
    孟子非博客   

    表示看不懂

    2016年6月17日 下午7:52 评论
  11. 4楼
    个人博客   

    进来看看、了解一下

    2016年6月24日 下午2:58 评论
  12. 地板
    西门吹雪   

    目测大牛。。。。。

    2016年6月30日 上午2:11 评论
  13. 板凳
    丝袜美腿   

    技术牛人,膜拜

    2016年7月2日 上午10:01 评论
  14. 沙发
    Clarke   

    真心看不懂,我都不会黑客攻防。

    2016年7月3日 下午3:17 评论
    • 慕若曦   

      无关攻防,属于安全软件的应用,HIPS是基于主机的入侵防御系统,可以拦截软件在你电脑上做出的修改让你去选择

      2016年7月3日 下午10:20 评论

发表评论

╮( ̄▽ ̄)╭ |  (= ̄ω ̄=) |  (>﹏<) |  Σ( ° △ °|||)︴ |  Σ(っ °Д °;)っ |  X﹏X |  (╯-_-)╯╧╧

小提示:Ctrl+Enter快速提交助您一臂之力~
十年之约
加载中……