最新国产福利在线_午夜国产日韩欧美一区_国产精品青青在线观看爽_日本免费自拍亚洲_亚洲第一无码在线观看_色噜噜狠狠爱综合视频_亚洲av免费观看在新更新_久久久免费观成人影院_别揉我奶头~嗯~啊~少妇视频_福利视频一区二区牛牛

在人工智能技術(shù)快速發(fā)展的當(dāng)下，各類AI應(yīng)用不斷涌現(xiàn)，作為提升網(wǎng)絡(luò)效率的創(chuàng)新載體，AI瀏覽器憑借其個(gè)性化推薦、智能交互等特性，正獲得越來(lái)越多用戶的青睞。但是，經(jīng)研究發(fā)現(xiàn)，這類工具正面臨雙重安全威脅：一方面，部分AI瀏覽器可能暗藏惡意程序，成為病毒傳播的新渠道；另一方面，惡意軟件也可借助AI瀏覽器進(jìn)行投放，偽裝成正常功能，在后臺(tái)下載并釋放病毒，危害用戶設(shè)備安全。本文將對(duì)AI瀏覽器的安全隱患及其傳播模式進(jìn)行分析，期望有助于您更好地了解和防范相關(guān)風(fēng)險(xiǎn)。

近期，火絨威脅情報(bào)中心監(jiān)測(cè)到一款Chat_AI瀏覽器正在廣泛傳播并釋放病毒，危害用戶設(shè)備與數(shù)據(jù)安全。分析顯示，該Chat_AI瀏覽器擁有正規(guī)軟件簽名，通過(guò)對(duì)Chromium內(nèi)核進(jìn)行二次打包，將惡意代碼隱藏在其中，并通過(guò)“白加黑”釋放惡意文件，從而部署遠(yuǎn)控后門。目前，針對(duì)這一威脅，火絨安全產(chǎn)品對(duì)于網(wǎng)頁(yè)下載的偽造瀏覽器，支持查殺以及能夠識(shí)別并阻止來(lái)源不明的應(yīng)用安裝或執(zhí)行，保障用戶系統(tǒng)的安全，請(qǐng)廣大用戶及時(shí)更新病毒庫(kù)以提高防御能力。

查殺圖

火絨工程師通過(guò)對(duì)Chat_AI瀏覽器溯源分析，發(fā)現(xiàn)其數(shù)字簽名來(lái)自于Hunan Jialiang Communication Technology Co., Ltd.（未吊銷，證書(shū)有效）。進(jìn)一步對(duì)搜索引擎進(jìn)行溯源后，確認(rèn)該軟件源自一家商業(yè)軟件公司——湖南嘉量網(wǎng)絡(luò)科技有限公司，且其網(wǎng)站信息均已備案。

數(shù)字簽名

搜索引擎溯源結(jié)果

公司信息

備案信息

此外，研究發(fā)現(xiàn)當(dāng)網(wǎng)址為http://aixiaoyu.net/（以http開(kāi)頭）時(shí)會(huì)跳轉(zhuǎn)到其官網(wǎng)，為https://aixiaoyu.net/（以https開(kāi)頭）時(shí)則跳轉(zhuǎn)到投毒頁(yè)面。

官網(wǎng)頁(yè)面

投毒頁(yè)面

樣本執(zhí)行流程圖如下：

流程圖

經(jīng)過(guò)對(duì)初始樣本的綜合動(dòng)靜態(tài)分析，發(fā)現(xiàn)該樣本實(shí)質(zhì)上是對(duì)Chromium內(nèi)核進(jìn)行二次打包后的“套皮版”Google Chrome瀏覽器。軟件開(kāi)發(fā)者在代碼中嵌入了惡意函數(shù)，并對(duì)其進(jìn)行合法簽名，命名為ChatAI瀏覽器。具體執(zhí)行流程如下：

首先，程序通過(guò)一個(gè)全局變量標(biāo)志位來(lái)判斷是否激活惡意行為。

隨后，樣本將AI瀏覽器的卸載信息寫(xiě)入注冊(cè)表，以此來(lái)偽裝安裝痕跡，使用戶難以察覺(jué)其存在。

接著，主程序開(kāi)始執(zhí)行，釋放白加黑文件，完成惡意代碼的加載。

最后，在惡意行為執(zhí)行完畢后，自動(dòng)刪除AI瀏覽器的更新文件，以隱藏痕跡。

后門函數(shù)

注冊(cè)表寫(xiě)入卸載信息

其惡意木馬的主函數(shù)首先通過(guò)一系列的反調(diào)試和反虛擬機(jī)檢測(cè)來(lái)判斷當(dāng)前運(yùn)行環(huán)境是否安全。這一過(guò)程主要包括檢測(cè)是否存在抓包工具、Procmon、火絨安全分析工具、PCHunter以及VMware常用監(jiān)控和虛擬化軟件。

反調(diào)試反虛擬機(jī)

該檢測(cè)函數(shù)通過(guò)調(diào)用Windows API EnumWindows回調(diào)函數(shù)，遍歷當(dāng)前系統(tǒng)中的所有窗口。在回調(diào)過(guò)程中，函數(shù)會(huì)獲取每個(gè)窗口的標(biāo)題、類名等關(guān)鍵信息，并將其與常見(jiàn)抓包工具的窗口信息進(jìn)行比對(duì)。

獲取窗口信息，檢測(cè)抓包工具

通過(guò)窗口信息檢測(cè)procmon。

檢測(cè)Procmon

通過(guò)回調(diào)函數(shù)檢測(cè)火絨安全分析工具。

檢測(cè)火絨劍

通過(guò)枚舉驅(qū)動(dòng)信息檢測(cè)PChunter。

檢測(cè)PChunter

通過(guò)查詢注冊(cè)表信息檢測(cè)VMWare。

檢測(cè)VMWare

隨后通過(guò)獲取特殊目錄路徑，并利用命令行的方式創(chuàng)建目錄Microsoft\Vault。

命令行創(chuàng)建目錄

創(chuàng)建成功后，惡意木馬利用COM接口{148BD527-A2AB-11CE-B11F-00AA00530503}（TaskScheduler接口）進(jìn)行計(jì)劃任務(wù)的管理操作。具體流程如下：

通過(guò)TaskScheduler接口，查找并刪除已存在的計(jì)劃任務(wù)CrashKernel，以避免與此前可能創(chuàng)建的任務(wù)產(chǎn)生沖突。

以相同名稱CrashKernel重新創(chuàng)建計(jì)劃任務(wù)，并將其指向惡意文件，從而使其能夠在系統(tǒng)啟動(dòng)或特定時(shí)間點(diǎn)自動(dòng)執(zhí)行。

惡意木馬隨后釋放騰訊QQ游戲的合法組件（如QQGame.exe或TXPlatform.exe），并利用“白加黑”技術(shù)（即濫用合法簽名程序執(zhí)行惡意代碼）。

C:\Users\Admin\AppData\Roaming\Microsoft\Vault\TXInstallUser.exe

C:\Users\Admin\AppData\Roaming\Microsoft\Vault\ Factory.dll

計(jì)劃任務(wù)、白加黑文件

通過(guò)com組件{148BD527-A2AB-11CE-B11F-00AA00530503}刪除計(jì)劃任務(wù)CrashKernel。

刪除計(jì)劃任務(wù)

之后首先通過(guò)查詢計(jì)劃任務(wù)狀態(tài)，并通過(guò)com組件{148BD524-A2AB-11CE-B11F-00AA00530503}創(chuàng)建計(jì)劃任務(wù)：CrashKernel。

查詢RPC服務(wù)狀態(tài)

查詢Schedule狀態(tài)

創(chuàng)建計(jì)劃任務(wù)

計(jì)劃任務(wù)

隨后采用相同手法創(chuàng)建目錄Microsoft\Crypto，但在實(shí)現(xiàn)自啟動(dòng)方式上有所不同。此次不再依賴計(jì)劃任務(wù)，而是通過(guò)創(chuàng)建系統(tǒng)服務(wù)的方式實(shí)現(xiàn)開(kāi)機(jī)自啟，并繼續(xù)利用“白加黑”技術(shù)釋放惡意文件。具體步驟如下：

創(chuàng)建Microsoft\Crypto目錄，用于存放后續(xù)釋放的惡意文件。

通過(guò)創(chuàng)建系統(tǒng)服務(wù)的方式，確保惡意程序能夠隨系統(tǒng)啟動(dòng)自動(dòng)運(yùn)行。

釋放迅雷看看相關(guān)組件，并利用“白加黑”技術(shù)加載惡意代碼。

釋放白加黑文件

服務(wù)自啟動(dòng)

之后以同樣的方式創(chuàng)建服務(wù)開(kāi)機(jī)自啟，以及釋放微軟符號(hào)工具相關(guān)組件。

白加黑文件

其中，這三個(gè)白加黑文件的功能具有相似的后門特性，以下以騰訊QQ游戲相關(guān)組件為例進(jìn)行說(shuō)明：

文件首先通過(guò)互斥體的方式檢測(cè)目標(biāo)進(jìn)程是否已存在。

如果目標(biāo)進(jìn)程尚未運(yùn)行，惡意文件將創(chuàng)建互斥體，確保該進(jìn)程在同一時(shí)間內(nèi)只會(huì)被啟動(dòng)一次。

互斥體

創(chuàng)建互斥體

注入主邏輯函數(shù)的執(zhí)行流程如下：

• 如果目標(biāo)進(jìn)程為32位，木馬使用天堂之門技術(shù)進(jìn)行x64進(jìn)程注入。
• 如果目標(biāo)進(jìn)程為64位，則使用遠(yuǎn)程線程注入技術(shù)。

進(jìn)程注入

獲取進(jìn)程權(quán)限信息

svchost進(jìn)程PID

svchost進(jìn)程

權(quán)限SID值

之后復(fù)制svchost進(jìn)程的句柄。

復(fù)制句柄

然后判斷進(jìn)程位數(shù)。

判斷進(jìn)程位數(shù)

根據(jù)進(jìn)程位數(shù)選擇相應(yīng)的注入方式：

如果是位數(shù)是32位，采用天堂之門進(jìn)行注入。

天堂之門

天堂之門調(diào)用遠(yuǎn)程線程注入

如果位數(shù)是64位，則采用直接遠(yuǎn)程線程注入的方式將惡意代碼注入svchost進(jìn)程。

遠(yuǎn)程線程注入

通過(guò)對(duì)從文件中dump出來(lái)的后門DLL進(jìn)行分析，發(fā)現(xiàn)無(wú)論是64位還是32位版本，都采用相同的后門功能代碼。在DLLMain中，惡意代碼的執(zhí)行流程如下：

首先，通過(guò)互斥體檢測(cè)后門是否已經(jīng)在系統(tǒng)中運(yùn)行。如果檢測(cè)到進(jìn)程尚未啟動(dòng)，惡意代碼將繼續(xù)執(zhí)行。

隨后，惡意代碼通過(guò)與前述相同的反調(diào)試與反虛擬機(jī)檢測(cè)手段來(lái)規(guī)避分析工具的監(jiān)控，包括檢測(cè)抓包工具、Procmon、安全分析工具、PCHunter 和 VMware。

在通過(guò)上述檢測(cè)后，惡意代碼會(huì)創(chuàng)建一個(gè)新線程，開(kāi)始執(zhí)行后門主邏輯，確保后門的持續(xù)運(yùn)行和遠(yuǎn)程控制功能。

DLLMain函數(shù)

隨后，將上線標(biāo)志寫(xiě)入注冊(cè)表信息當(dāng)中。

注冊(cè)表寫(xiě)入標(biāo)志

首先檢測(cè)是否存在C:\\debugger目錄，如果該目錄存在，將其寫(xiě)入日志文件，記錄相關(guān)信息；若目錄不存在，則函數(shù)直接返回。

日志信息

之后對(duì)www.msftconnecttest.com/connecttest.txt進(jìn)行網(wǎng)絡(luò)測(cè)試，以檢測(cè)是否能夠成功連通。

網(wǎng)絡(luò)測(cè)試

通過(guò)枚舉驅(qū)動(dòng)的方式檢測(cè)火絨、卡巴斯基、360、QQ電腦管家驅(qū)動(dòng)文件。

枚舉驅(qū)動(dòng)

隨后，收集本機(jī)信息并將上線信息發(fā)送到C2。

上線信息

通過(guò)匹配返回值以任務(wù)插件的方式執(zhí)行后門功能。

任務(wù)插件

對(duì)接收回來(lái)的任務(wù)執(zhí)行插件注入。

注入DLL

恢復(fù)線程注入

C&C：