今天上服务器,打开金山贝壳ARP防火墙 v2.0,结果发现软件原本内嵌广告的地方跳转到一个陌生网站了,而且直接调用的IE控件,这要是跳到一个挂马页面,岂不直接中马了,汗……

以前也注意过这种问题,很多软件都存在此类问题,包括各种杀毒软件(360安全卫士、360杀毒、瑞星、金山……),尤其是各种播放器的内嵌广告页面、弹窗广告页面、迅雷、QQ(QQ当年迷你首页被人DNS劫持并挂马,那个肉鸡上的叫个多……)、搜狗输入法、酷狗音乐盒、千千静听等各类软件都有!基本都是全部调用的浏览器控件进行访问的,效果就和浏览器访问一模一样,一旦这些页面被黑、被劫持,挂上网马,岂不肉鸡多多……

赶快抓包,简单的分析了下,原因如下。

原因是金山公司把旗下域名 www.beike.cn 整体转向到 www.ijinshan.com,至于为什么跳转,暂不明确,我猜是公司内部业务调整,金山贝克ARP防火墙这个也很久没更新了(两年了吧),可能是部门不赚钱了,也没存在的意义了,就撤消了,域名也就理所当然的跳转了,不跳转就是浪费资源么……

但是他在跳转的时候没进行判断(可能是故意的),把所有页面全部302跳转了,导致金山贝克2.0的升级判断页面、内嵌广告页面等全部跳转到这个地址了。

这样直接的后果就是存在重大安全隐患!原因及后果上边也分析过了,那么我们就必须得剔除这个安全隐患,不然哪天真的就中木马了。

接下来就是简单的 PE DIY 了,具体的过程就不累赘了,这里给出关键的HEX地址和修改好的文件,你可以自己修改也可以直接下载我改好的覆盖掉。

下载地址:

单独的补丁:http://115.com/file/aqylwjxz

补丁+原版安装程序(包含上边的):http://115.com/file/be7thhzx

使用方法:

很简单,安装完原版防火墙后,找到安装目录,用补丁覆盖即可……

金山贝壳ARP防火墙 v2.0 去广告、屏蔽升级 剔除安全隐患

金山贝壳ARP防火墙 v2.0 去广告、屏蔽升级 剔除安全隐患

金山贝壳ARP防火墙 v2.0 去广告、屏蔽升级 剔除安全隐患

金山贝壳ARP防火墙 v2.0 去广告、屏蔽升级 剔除安全隐患

金山贝壳ARP防火墙 v2.0 去广告、屏蔽升级 剔除安全隐患

部分 HEX 地址,可以自行修改:

---------------------------------------------------------
地址       反汇编                         文本字串
---------------------------------------------------------

---------------------------------------------------------
\Antiarp\beikearpmain.exe

//应该是统计用户信息的,域名早已失效了
00411528   push    00439F14               UNICODE "rep.beike.cn"
00411546   push    00439EEC               UNICODE "/cinfo/repdump.php"

//金山贝克的论坛地址,域名早已失效了
//托盘图标,弹出菜单“贝壳用户中心”,点击触发。
00422249   push    0043B550               UNICODE "http://bbs.beike.cn/?s=1"
//金山贝克主界面右下角Logo“贝壳安全”
00422265   push    0043B584               UNICODE "http://www.beike.cn/?s=1"

//金山贝克主界面的查杀盗号木马“安装”按钮
00427C86   push    0043C0A8               UNICODE "http://www.beike.cn/downloads/beikescan/win2k"
00427C8D   push    0043C048               UNICODE "http://www.beike.cn/downloads/beikescan/default"

//一启动金山贝克主界面,就会访问的内嵌广告页面
00428AE1   push    0043C2F8               UNICODE "http://www.beike.cn/beike/arpembed.htm"

//一启动金山贝克主界面,就会访问的内嵌广告页面
0042D118   push    0043C820               UNICODE "http://www.beike.cn/beike/beike.json"
0042DCEE   push    0043CDF8               UNICODE "http://www.beike.cn/ztarp.html"
---------------------------------------------------------

---------------------------------------------------------
\Antiarp\beikearpsvc.exe

00406562   push    0042868C               UNICODE "rep.beike.cn"
0040657F   push    004286A8               UNICODE "/cinfo/repdump.php"
---------------------------------------------------------

---------------------------------------------------------
\Antiarp\beikearpupd.exe

00401DE4   push    00425EF4               UNICODE "rep.beike.cn"
00401E01   push    00425F10               UNICODE "/cinfo/repdump.php"

//金山贝克的升级地址,升级数据就在这里存放的
00402D8A   push    00426258               UNICODE "http://vc01.beike.cn/update/antiarp/"
//不明地址,一运行金山贝克就会访问
0040EEDB   push    00426A18               UNICODE "rep.s-zone.com"
---------------------------------------------------------

---------------------------------------------------------
\Antiarp\skylarkd.dll

10003D43   push    100D710C               UNICODE "rep.s-zone.com"

1000C7CF   push    100D7450               UNICODE "f-sq.beike.cn"
1000C855   push    100D70B0               UNICODE "application/octet-stream"
1000C85A   push    100D746C               UNICODE "sapi/f012.aspx"
1000C85F   mov     eax, 100D7450          UNICODE "f-sq.beike.cn"

1000D59E   push    100D7450               UNICODE "f-sq.beike.cn"
1000D624   push    100D70B0               UNICODE "application/octet-stream"
1000D629   push    100D7668               UNICODE "sapi/f011.aspx"
1000D62E   mov     eax, 100D7450          UNICODE "f-sq.beike.cn"

100698BC   push    100D7450               UNICODE "f-sq.beike.cn"
10069955   push    100D70B0               UNICODE "application/octet-stream"
1006995A   push    100E3014               UNICODE "sapi/f007.aspx"
1006995F   mov     eax, 100D7450          UNICODE "f-sq.beike.cn"

1006A923   mov     eax, 100E30E4          UNICODE "f-fu.beike.cn"
1006A9EB   push    100E3100               UNICODE "sapi/u002.aspx"
1006A9F0   push    100E3120               UNICODE "%s?f=%s&a=%lu&p=%lu&c=%lu"
1006AA5A   push    100E3154               UNICODE "Content-Length: %lu"
1006AA69   mov     eax, 100E3180          UNICODE "Content-Type: application/oct-stream"
1006AA80   push    100E30E4               UNICODE "f-fu.beike.cn"

1006D0CE   push    100D7450               UNICODE "f-sq.beike.cn"
1006D154   push    100D70B0               UNICODE "application/octet-stream"
1006D159   push    100E3348               UNICODE "sapi/f009.aspx"
1006D15E   mov     eax, 100D7450          UNICODE "f-sq.beike.cn"

1006DFEF   push    100D7450               UNICODE "f-sq.beike.cn"
1006E075   push    100D70B0               UNICODE "application/octet-stream"
1006E07A   push    100E34C8               UNICODE "sapi/f008.aspx"
1006E07F   mov     eax, 100D7450          UNICODE "f-sq.beike.cn"

10073944   push    100E3638               UNICODE "f-ui.beike.cn"
100739CA   push    100D70B0               UNICODE "application/octet-stream"
100739CF   push    100E3654               UNICODE "sapi/f010.aspx"
100739D4   mov     eax, 100E3638          UNICODE "f-ui.beike.cn"
---------------------------------------------------------

当时抓包的原始数据包如下:

---------------------------------------------------------

远程地址:DNS IP:53
类型:SendTo
时间:2011年9月18日 星期日 21:53:39.531
大小:30
原始数据:
筞...........www.beike.cn.....

---------------------------------------------------------

远程地址:DNS IP:53
类型:SendTo
时间:2011年9月18日 星期日 21:53:39.546
大小:32
原始数据:
Iw...........rep.s-zone.com.....

---------------------------------------------------------

类型:Send
时间:2011年9月18日 星期日 21:53:39.593
大小:162
原始数据:
GET /beike/beike.json HTTP/1.1
Cache-Control: no-cache
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
Host: www.beike.cn
Connection: Close

---------------------------------------------------------

类型:Recv
时间:2011年9月18日 星期日 21:53:39.640
大小:352
原始数据:
HTTP/1.1 302 Moved Temporarily
Server: nginx/1.0.5
Date: Sun, 18 Sep 2011 13:55:08 GMT
Content-Type: text/html
Content-Length: 160
Connection: close
Location: http://www.ijinshan.com

<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>nginx/1.0.5</center>
</body>
</html>

---------------------------------------------------------

类型:Send
时间:2011年9月18日 星期日 21:53:40.093
大小:238
原始数据:
GET /beike/arpembed.htm HTTP/1.1
Accept: */*
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
Host: www.beike.cn
Connection: Keep-Alive

---------------------------------------------------------

类型:Recv
时间:2011年9月18日 星期日 21:53:40.125
大小:357
原始数据:
HTTP/1.1 302 Moved Temporarily
Server: nginx/1.0.5
Date: Sun, 18 Sep 2011 13:55:08 GMT
Content-Type: text/html
Content-Length: 160
Connection: keep-alive
Location: http://www.ijinshan.com

<html>
<head><title>302 Found</title></head>
<body bgcolor="white">
<center><h1>302 Found</h1></center>
<hr><center>nginx/1.0.5</center>
</body>
</html>

---------------------------------------------------------