“速浪”家族构建VPN暗刷网络，百万用户遭遇安全危机

背景概述

“速浪”家族从2014年开始一直是国内活跃流氓软件的佼佼者，其早期关联变种还包括“稻草人家族”、“考拉家族”等，该系列家族除了强锁主页、静默推广、强制弹窗等常见流氓行为外，核心恶意功能还包括构建流量暗刷僵尸网络。

近期金山毒霸“捕风”威胁感知系统还监控到“速浪”家族秘密构建了一个庞大的VPN暗刷僵尸网络，病毒程序利用RAS(windows系统远程访问服务)连接云控指定的VPN服务器，并在用户系统中安装执行开源代理软件Shadowsocks服务端，其目的就是通过VPN服务将所有感染用户接入到同一虚拟局域网下实现网络穿透，感染用户彻底沦为网络代理节点后，病毒服务端就可以在局域网内控制任意用户节点执行网络访问。

如上图所示，感染用户成为僵尸代理节点后不仅会被占用大量网络资源被用于流量暗刷，更大的网络安全隐患在于，感染主机直接暴露在病毒构建的庞大VPN虚拟局域网内，而该VPN网络的接入密码凭证是硬编码在病毒文件中的，网络节点间并不存在任何安全信任关系，任何人都可以伪装接入该僵尸网络接管所有感染节点或进行内网扫描攻击。

从我们的历史监控数据回溯看，“速浪”家族最早从2018年就开始通过VPN代理木马组建僵尸网络，而本次变种从2019年3月底开始加强活跃程度，目前正通过其旗下的“速浪输入法”、“极速压缩”等软件的云控模块进行大范围传播。从特殊渠道的监控数据看，“速浪”家族软件的全网历史安装总量过亿，在国内多家安全软件的追杀之下，部分流氓变种至今依旧保有百万级活跃量，所以该VPN僵尸网络一旦被黑客恶意利用就会造成非常严重的安全影响。

除了VPN代理僵尸网络，“速浪”家族在流量暗刷方面也是前科累累。如上图，毒霸安全团队在2017年8月份曾监控到“速浪输入法”通过云控下载“YY直播”暗刷木马，通过后台登陆僵尸粉丝账号，模拟操作“YY直播”刷量增加主播房间人气。友商腾讯“御见”安全团队曾在去年针对该直播刷量木马发布过技术分析披露，所以此处不再赘述，详情可参考文章末尾报告链接。

技术分析

如上图所示，“速浪”VPN代理木马的整体流程并不复杂，以“极速压缩”为例，安装包释放“Potity.exe”并注册为系统服务实现自启动，该模块主要负责联网下载核心模块“tix.exe”并循环更新。而“tix.exe”的功能主要分为“初始配置”和“云控工作”两大部分：

• 初始化配置部分：从模块资源中解压释放Shadowsocks服务端“ssserver.exe”和RAS连接配置文件“Rasphone.pbk”到程序安装目录下，随后病毒模块修改系统防火墙配置，将模块自身、代理服务端以及代理端口加入放行列表。最后启动其代理服务端“ssserver.exe”，该程序基于开源项目go-shadowsocks2改造编译，配置选项硬编码在命令行参数中，加密协议为“AES-256-CFB”。

• 云控工作部分：完成基础文件的释放配置后，病毒进入云控工作部分，首先循环尝试向服务端请求RAS连接的目标服务器IP，随后设置到配置文件并通过Rasdial拨号尝试连接到VPN网络。成功建立连接以后则向服务器报告节点的内网IP和代理端口信息，成功以后服务器返回节点ID，病毒程序通过此ID和服务器保持循环心跳通信。

如下，感染节点加入病毒创建的VPN虚拟局域网，控制端收到节点上报信息后就可以通过内网IP连接其代理服务端口，执行流量暗刷等网络任务。

安全风险分析

如前文所述，抛开感染用户被“速浪”家族用于流量暗刷造成的安全影响不谈，这一僵尸代理网络架构本身就存在巨大的安全漏洞，黑客可以通过协议探测到所有VPN服务器IP地址，其账号密码包括代理密码也均硬编码在病毒文件中，接入VPN网络的同时就意味着控制了数十万的代理节点，所有的感染系统也同时暴露在黑客的枪口之下。

我们通过协议请求获取了部分VPN服务器IP，然后通过端口扫描和无损漏洞探测等技术手段对该僵尸网络的小范围IP段进行了安全评估，结果并不容乐观，不仅可以轻易接管控制所有网络代理节点，暴露在内网的部分机器也很容易沦为黑客攻击目标。

附录IOC

(*注: 出于安全风险考虑，防止代理僵尸网络被恶意利用，隐去部分敏感信息)

URL：

http://yy7.sulang.com:8090/i_nat_c.php

http://ht.it376.com/cnzz/ssserver.html?soft=jisu

HASH:

CD68652698832F531FECE60A2B0055E3

EA2015F2216DD6DB2127AD96A0EB51A5

00B0D1A98DC92403F16950D26E630C68

358E8AAFE536791E1E5E257520C4D441

附录参考

《违规软件再添新业务，秒变直播僵尸粉刷量造假》

https://www.freebuf.com/articles/system/176959.html

声明：本文来自安全豹，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。