threatBookRTFM
IOC 4

threatBookthreatBook

恶意捆绑
被污染的百度下载,被捆绑的Putty,为什么受伤的总是程序员?!
RTFM
2018-05-08 18:08:39ThreatBook53739
+ 关注

今天我重装机器后,通过百度软件中心下载了最新版的putty(我点的“普通下载”,http://sw.bos.baidu.com/sw-search-sp/software/385cd0d969a9a/PuTTY_0.67.0.0.exe),运行后突然机子居然自动安装了“金山毒霸”和“爱奇艺”两款软件,针对这个奇怪现象我做了如下分析。

image.png

0x01  样本分析

下载的文件(PuTTY_0.67.0.0.exe)和putty使用的图标是一样,但是这个文件无数字签名,并且版本信息非常诡异:

image.png

该程序启动后首先访问一个URL,并下载一个文件:

http://47.100.191.***/dl/list?supplyId=1&softName=PuTTY_0.67.0.0.exe

该文件保存在浏览器的临时目录,命名为“list.exe”,但其实它并不是一个可执行文件,

文件的内容如下:

image.png

这其实是一个要下载的文件列表,包含了金山毒霸和爱奇艺,接着才会从资源节中读取真正的putty文件,将其释放到临时目录,并运行。如下如:

image.png

真正的putty运行后,这个程序就会在后台静默下载“金山毒霸”和“爱奇艺”。

这到底是百度的官方行为,还是黑客干的?我进行了一个简单的溯源。

0x02 溯源

1、对该程序内嵌的下载地址47.100.191.***(属于阿里云)排查发现,该IP当前存在可疑域名software-********.top(注册于阿里云)。

image.png

2、software-*********.top注册于2018年4月15日(还不到一个月),注册邮箱为bux********@sina.com,而该邮箱曾于2017年3月注册过另一域名bux*****.me,并留有上海的手机号159********。

image.png

3、对手机号和邮箱搜索发现,两条线索均指向支付宝实名用户“卜X”,属地上海浦东。

image.pngimage.png

4、有趣的是,“领英”网站刚好能够检索到一位名为“卜X”的百度员工,工作地恰好也在上海。

image.png

综合上述情况分析,这次捆绑事件的源头应该是“卜X”,此人可能利用职务之便实施了此次恶意推广活动,百度应该也是“受害者”!

当然除了Putty外,我还找到一款名为“肥佬影音”的软件(http://sw.bos.baidu.com/sw-search-sp/software/a6b1a03d44ccb/feilaoyingyin.exe)也具备上述行为,作者不止针对我们用putty的码农,还兼顾了另一部分特定用户,真是太坏了!

image.png

0x03 沙箱效果

最后,我试着用微步沙箱跑了一下这个程序,检测效果还是很明显的,有兴趣可以看看。

image.png

https://s.threatbook.cn/report/file/b0949152cbc530aa1575a74413ba49a6c3dfa0ad58b645a3708f52326a8f5cb5/?env=win7_sp1_enx86_office2013

展开全部ThreatBook

威胁指标(IOC)

IP端口域名样本标签
47.100.191.1210030
域名子域名历史IP样本标签
software-download.top2000
Hash检测结果样本标签
B0949152CBC530AA1575A74413BA49A6C3DFA0AD58B645A3708F52326A8F5CB52/2500
F27B47CF76915C62C019150C0019923482BA931BCD7DA7EF38CD6AD6412570D63/2500
22

评论

ThreatBook
匿名用户
2018-06-05 14:53:41
threatBook0
射工不错
匿名用户
2018-05-22 16:04:25
threatBook0
还有这种操作?
匿名用户
2018-05-21 16:12:03
threatBook0
姿势可以
匿名用户
2018-05-21 16:10:40
threatBook0
姿势可以
匿名用户
2018-05-21 16:07:57
threatBook0
学习学习1
h0st
2018-05-21 16:07:27
threatBook0
新姿势学习下。。。
匿名用户
2018-05-21 16:06:36
threatBook0
学习学习
匿名用户
2018-05-21 16:04:49
threatBook0
厉害了
匿名用户
2018-05-21 15:57:12
threatBook0
学习个
匿名用户
2018-05-21 15:50:21
threatBook0
niupi 1
匿名用户
2018-05-21 15:49:24
threatBook0
niupi
匿名用户
2018-05-21 15:48:08
threatBook0
77777
匿名用户
2018-05-21 15:47:03
threatBook0
666
匿名用户
2018-05-21 15:45:45
threatBook0
666
匿名用户
2018-05-21 15:44:40
threatBook0
666
匿名用户
2018-05-18 14:41:37
threatBook0
无论如何百度应该要有个交代,这类应该算PUP了吧,但对于是不是卜某做的不予置评
碧云涛
2018-05-15 22:20:57
threatBook0
丢饭碗了吧 哈哈
弹指江山
2018-05-11 16:11:08
threatBook0
可以可以,这波姿势厉害了
未知数
2018-05-11 09:57:41
threatBook0
Hello~CCTV 拍 这 里 !
softman
2018-05-11 08:49:29
threatBook0
不错....打了一波射工
test_zerg
2018-05-11 07:48:12
threatBook0
火钳刘明
匿名用户
2018-05-10 17:47:22
threatBook0
BAT,只有A稍微好点,BT都差不多一样黑。装个输入法都带大礼包;不要说我不懂,自定义设置界面做的之隐蔽;各种套路。
幽灵客
2018-05-10 10:07:20
threatBook0
坐等百度处理结果
GeekShared
2018-05-09 20:52:48
threatBook0
估计这哥们负责这一块东西。应该是职务之便。有时候图方便,就在百度下,看来现在也不能了
社区用户名
2018-05-09 20:02:15
threatBook2
百度刚才把下载链接给删了:http://sw.bos.baidu.com/sw-search-sp/software/385cd0d969a9a/PuTTY_0.67.0.0.exe, po 主也莫名 mask 了一些信息,不知道为啥,但你发的 IOC 还在啊, For public interest:https://www.virustotal.com/#/file/b0949152cbc530aa1575a74413ba49a6c3dfa0ad58b645a3708f52326a8f5cb5/behavior
RTFM
2018-05-09 20:13:48
threatBook
回复@社区用户名这哥们指责我侵犯他的隐私权了,我只好码上一些信息,样本维度的东西就没必要了
社区用户名
2018-05-09 20:54:03
threatBook
回复@RTFM目测那位是 troll,钓鱼在网络中是普遍现象,那位匿名本来就无法证明自己是谁,他所谓的声明不可置信。况且这些信息是公开的,包括那封百度之星的邮件(http://tieba.baidu.com/p/597762628),不论它怎么改 whois,因特网都不会失去记忆。每个人都要为自己的机器负责,自己的机器被黑了,然后攻击了别人机器,或是做了自己不知情的其他违法的行为,那么自己肯定要背锅的。
匿名用户
2018-05-09 12:41:23
threatBook5
郑重声明:关于百度软件中心捆绑安装的问题本人毫不知情,百度公司会给出调查结果。请停止侵犯我个人隐私的行为!!!
社区用户名
2018-05-09 16:37:53
threatBook
回复@匿名用户当事人匿名?怕不是 troll。
RTFM
2018-05-09 16:21:39
threatBook
回复@匿名用户本尊?佩服佩服,遵照您的隐私需求,我把码加重了!不过很多东西是抹不掉的,不知道jeremy这个名字你认识不?
匿名用户
2018-05-09 20:22:10
threatBook
回复@RTFM要是我干的我会绑域名?被人坑了你愿意这样被爆?真相总会大白,总会有人承担该承担的责任!
RTFM
2018-05-09 21:10:56
threatBook
回复@匿名用户既然你不解释域名的问题我就帮你说说: 1、software-*********.top的注册邮箱是bux********@sina.com,software-*********.top解析到47.100.191.***这个操作只能由管理员进行,难道是那个IP倒贴了你的域名?你再寻思下这个逻辑顺序; 2、software-*********.top这个域名摆明了就是要伪装软件下载站,保不齐正就写到下个版本的捆绑器里了,没成想这么快就被发现,是不是有些尴尬; 3、涉及的域名和IP都是在阿里云买的,还是同一个邮箱同一个手机,手机号码我可是打码了,别说我泄露隐私。 最后请问“百度公司会给出调查结果”我能看到不?
匿名用户
2018-05-10 10:17:25
threatBook
回复@RTFM他一个月前已经从百度离职了,百度处理结果 我估计你看不到了。
AP_CERT
2018-05-09 11:58:47
threatBook0
Like this post anyway
AP_CERT
2018-05-09 11:58:21
threatBook4
why I obtained this Email innocence55555@163.com under the domain of software-download.top, didn't see any buxiang related Email address
社区用户名
2018-05-09 19:44:14
threatBook
回复@AP_CERT只是改掉了,历史记录里还有他的大名。
AP_CERT
2018-05-10 12:51:05
threatBook
回复@社区用户名Cheers mate
匿名用户
2018-05-09 15:14:22
threatBook
回复@AP_CERTyou access this url: https://x.threatbook.cn/domain/software-download.top and to see what you could get
AP_CERT
2018-05-10 12:52:42
threatBook
回复@匿名用户cool, it's on here, appreciated.
和谐之风
2018-05-09 10:51:22
threatBook0
哈哈哈哈以后在下载站下软件还要自己去官网核一下hash了
光暗潮汐
2018-05-09 10:17:00
threatBook0
厉害了,看看百度怎么办,不会把微步和谐了吧~~~哈哈
索隆
2018-05-09 10:07:59
threatBook0
这点击量!!!!!
匿名用户
2018-05-09 07:25:19
threatBook0
原上海用户产品部的,翅膀硬了,祸害老东家。
微步情报局
2018-05-08 20:09:47
threatBook1
这个要重积分奖励了。。。。。
RTFM
2018-05-08 20:22:06
threatBook
回复@微步情报局感谢管理员
社区用户名
2018-05-08 20:04:27
threatBook1
http://47.100.191.121/dl/list?supplyId=1&softName=PuTTY_0.67.0.0.exe 已经不能下载文件了,估计那个卜翔已经知道了把。我去 linkedin上找了,没找到。
RTFM
2018-05-08 20:22:41
threatBook
回复@社区用户名linkin上还能搜到这位哥,那个服务器目前好像不给下载了
社区用户名
2018-05-08 20:00:35
threatBook0
我去瞄了一眼原版的 putty,不要求管理员权限,还有数字签名。区别还是有的(((( https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html
匿名用户
2018-05-08 19:45:18
threatBook1
buxiang2008@gmail.com 还绑定了一个美国的手机号码。
RTFM
2018-05-08 19:49:40
threatBook
回复@匿名用户库牛你好
匿名用户
2018-05-08 19:43:48
threatBook2
buxiang2008@gmail.com 里的邮件显示,它是2009年夏季实习生招进去的。 ---------------------------------------------------------- 您好, 首先恭喜您在百度之星大赛中取得的良好成绩。 按照百度之星大赛中公布的规则,进入复试的候选人可直接进入2009百度夏季实习生招聘计划的面试阶段。 如果您在接下来的几个月中可以连续实习三个月,并且每周可全职工作三个工作日以上,那么请赶紧登录 http://hr.baidu.com 网站进入“实习生招聘”页面进行简历注册并申请相关职位。 如果您以前就注册过百度招聘系统,那么请登录后进入“个人信息中心”,通过对您当前职位进行“替换”来申请2009夏季实习生招聘职位。 特别说明: 1.本次实习生招聘职位:本次实习生职位后面都标注了(2009夏季实习生计划),共11个部门的职位,请选择这11个当中的一个。具体职位列表请登录 http://hr.baidu.com 网站进入“实习生招聘”页面进行申请。 2.申请截止时间:请在2009年6月25日16:00之前在系统中提交您的职位申请信息,未注册的同学视为放弃本次面试机会。6月29日起我们将统一安排面试。 3.实习地点:北京,上海。具体地点请关注具体职位描述。 如果有其他问题,可以发邮件到 hrhelp@baidu.com 寻求帮助,寻求帮助时请注明自己在百度HR系统中的简历ID或注册邮箱。 百度 人力资源部 hr.baidu.com     2009-06-23 01:01
noob
2018-05-08 22:08:26
threatBook
回复@匿名用户厉害
test_zerg
2018-05-11 07:52:02
threatBook
回复@noob牛批
匿名用户
2018-05-08 19:38:12
threatBook0
雅虎邮箱:buxiang2008@yahoo.cn
匿名用户
2018-05-08 19:36:24
threatBook0
它的Gmail:buxiang2008@gmail.com
社区用户名
2018-05-08 19:00:52
threatBook1
你是不是在其他地方发过?现在在百度软件已经搜索不到 putty,这响应速度也太快了。下面是我在谷歌上找到的原始的链接: http://rj.baidu.com/soft/detail/15699.html
RTFM
2018-05-08 19:04:10
threatBook
回复@社区用户名就在这首发的, 百度把链接屏蔽了,但是帖子里的下载地址还在存货,“肥佬影音”也能搜 不过估计也快下了
fir
2018-05-08 18:52:07
threatBook0
我擦,这个牛逼。。。
已经到底了,没有更多内容了