freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

勒索软件“假面”系列——免流软件
2018-03-20 10:00:19
所属地 海外

第一章 勒索中的“免流”

勒索软件是指启动后通过置顶自身窗口或重置锁机密码强制锁定用户桌面、使用户无法正常使用设备,并以支付解锁对用户进行勒索的软件。近年来,360烽火实验室始终密切关注勒索软件发展动向,并持续对勒索软件新技术新形式、勒索软件黑产、以及Android新版本系统在对抗勒索软件方面的新特性进行了深入研究。

在对勒索软件的长期跟进中我们发现,勒索软件是一类非常擅长伪装自己的软件,为了诱导用户下载安装运行,勒索软件通常会伪装成各种极具诱惑力、通过不正规手段牟利的软件,例如游戏外挂、代刷、盗版应用、WIFI密码破解、抢红包等等,这些软件拥有一定的用户群与传播途径,勒索软件正是利用了其易吸引用户、传播快的特点玩起了“假面游戏”。

一、勒索软件擅于伪装后传播

截止到2018年2月,360烽火实验室共捕获到Android恶意勒索软件80万个,而其中几乎所有的勒索软件都对自己进行了伪装,对这些勒索软件分类统计后发现,勒索软件的伪装类别多达十多种,其中以外挂辅助类最为普遍,流氓软件与色情类软件次之。

Clipboard Image.png

图1 勒索软件伪装类别分布

二、特殊的伪装——免流软件

在这些伪装类别中,我们发现有一类与日常生活中不可或缺的手机流量相关的软件——免流软件,这类软件名称多为“XX免流”或“XX云免”,号称能够让用户免流量费上网,并以此吸引用户下载安装,实运行后却是勒索软件。

Clipboard Image.png 

图2 冒充免流软件的勒索软件

在我们捕获到的勒索软件中,冒充免流软件的样本占比1.81%,虽然占比工具类低,但自成派别,数量不在少数,甚至超过了盗版软件。

大量勒索软件冒充免流软件进行传播的现象从侧面反映出了一个问题——免流软件本身占据着相当用户与传播市场。实际上确实如此,移动互联的发展推动了智能手机的网络访问量,特别是随着手机直播、在线视频、移动社交等产业的繁荣,智能手机流量的使用量不断攀升。根据工信部2018年2月发布的《2017年通信业统计公报》,2017年各月户月均移动互联网接入流量呈逐月增长的趋势,到12月已超过2G。

Clipboard Image.png

图3 2017年各月当月户均移动互联网接入流量增长情况

然而在国内,移动数据流量并不便宜,数据流量使用量的攀升使得部分人开始寻求廉价甚至免费的流量获取方法,免流软件应运而生并快速传播开来。截止到2018年2月,360烽火实验室共捕获到20万+个免流软件,其中部分软件的传播量已经达到了几百万次。巨大的软件数量与传播量进一步印证免流软件拥有着不小的市场,且我们在对免流软件与免流平台的分析过程中发现,免流软件已具备一定的产业规模。

第二章 免流软件

一、定义与分类

免流软件即安装后可以让用户在移动运营商网络下免流量或减少流量访问互联网的软件。免流软件根据其核心功能所在的位置可以分为本地免流与云免流,本地免流软件的核心功能环节通常位于本地,而云免流的核心功能环节则主要在VPN中完成。

(一)   本地免流

本地免流是指通过修改本地代理或者使用网络请求捕获与修改模块在本地修改用户网络请求(HTTP与HTTPs请求,本文均以HTTP请求为例)从而达到免流效果的方式。根据实现框架的不同,本地免流分为很多种,比较有名的有Tiny、Samp、Hap、Fmns等等,不同框架实现的免流软件对手机root权限与端口的要求不同,同时相应的免流模式语法也不同。但无论哪种框架是否需要root,最终目的都是通过一些手段修改本地的网络请求包,将免流混淆信息插入其中,从而把非免流流量伪装成免流流量。

本地免流软件主要由核心代理模块、免流模式、防跳工具三部分构成,这些模块通常都存放在软件的Assets目录下:

1. 核心代理模块。核心代理模块通常使用Tiny、Samp等开源框架在本地搭建网络代理,其主要职责是根据免流模式对设备发起的网络请求进行修改;

2. 免流模式。免流模式是免流成功的关键所在,它定义了对网络请求进行修改的规则,被核心代理模块所用;

3. 防跳工具。防跳工具即用来预防跳点的模块。

跳点指的是那些未能成功免流、被计费检测系统正常进行计费了的流量。产生跳点的主要原因是部分流量不会经过本地代理,从而造成请求头修改失败。目前比较流行的防跳方式有单纯禁网与使用防跳工具,防跳工具的防跳原理与单纯的禁网不同,其还包括了修改防火墙命令,强制部分不走本地代理的流量去走本地代理,而对于部分免流系统不支持的协议(如QQ、微信等),则可以用规则将其放行,使之能正常访问网络,这种情况叫做半免。防跳工具就是用于减少跳点带来的额外流量费的工具。目前比较流行的防跳工具有扫地僧防跳与终极防跳。

(二)   云免流

云免流是指通过连接特定VPN服务器实现免流上网的方式。与本地免流不同,云免流用户不用自己去进行核心模块安装、防跳设置等繁琐操作,仅需要使用VPN软件连接特定免流VPN服务器即可实现免流。云免流相当于把原来本地免流的一套系统搬到了VPN服务器上,VPN服务器作为一个代理服务器,代理并修改用户设备发出的所有网络请求,进而达到用户免流量上网的目的。在云免流中有服务端与客户端之分,服务端即VPN服务器,目前搭建LinuxVPN服务器较常用的是OpenVPN开源框架;客户端即用户设备上安装的VPN连接软件,很多免流平台(VPN服务端)都为用户提供了特定的客户端软件,用户只需要安装客户端软件与服务端下发的配置文件,并在免流平台购买VPN卡密,即可通过客户端软件连接VPN来实现免流。

以某款免流平台为例:用户首先需要在免流平台购买免流套餐,包月套餐通常为几块钱不等,免流平台支持的支付形式多样,可购买多张,通常多买会有优惠政策:

Clipboard Image.png

图4 某云免流平台卡密购买页面

购买成功后卡密(即激活码)会返回到订单详情中,同时,客户端软件的链接也会一并提供给用户:

Clipboard Image.png

图5 云免流购买卡密后订单页面

用户通过链接下载客户端软件并通过卡密激活后就可以安装线路使用了。云免软件通常给用户提供了多条线路,如下图,用户可根据自己所在的运营商与地区情况选择可用的线路,只有在可用线路下才能成功免流。

Clipboard Image.png

图6 云免流客户端线路选择页面

二、两大必备因素

免流软件的存在依赖于两个必不可少的因素:免流IP、移动运营商代理服务器与计费检测系统的分离。

(一)   免流IP

移动运营商为了方便用户访问其提供的各种服务,通常会为用户提供特定的免流优惠政策,比如,当用户用数据网络访问移动运营商掌上营业厅时不会向用户收取流量费,由此产生了一些免流量计费的IP,即免流IP。运营商计费检测系统把所有免流IP放入了一份白名单,当用户流量进入计费检测系统以后,计费检测系统会判断该用户流量访问的IP是否在白名单中,若在就不会进行扣费;

(二)   代理-计费分离

对于运营商而言,代理服务器与计费检测系统是两个业务量都很庞大的系统,为了系统管理升级与日常维护,这两个系统被做成了分离的模块,并运行着不同的网络请求处理机制。当用户访问互联网时会向运营商代理服务器发送一条请求信息,这条请求信息的头部包含了目的IP、源IP、UA、网络协议、文件类型等详细信息,代理服务器与计费检测系统从请求头获取目的IP,并分别以此代理用户网络请求或判断用户流量是否需要计费。免流软件正是不正当利用了代理服务器与计费检测系统检测机制分离这一特点,通过自定义网络请求头,使二者从请求头中获取到的目的IP不一致,从而达到欺骗计费检测系统、免流上网的目的。同时,由于各运营商、各地区的计费检测系统检测机制存在差异,不同模式的免流软件具有不同的应用场景与地区限制。

三、原理

免流软件的本质是用户端的流量欺骗,而实现欺骗的基本原理就是修改设备上发起的网络请求,用伪造的请求头欺骗运营商计费检测系统从而实现免流。

Clipboard Image.png

图7 全局免流软件原理

防跳程序会优先处理设备发起的网络请求,根据防跳策略或禁网或放行或强制网络请求走本地代理。当网络请求经过本地代理时,本地代理会根据免流模式对该网络请求的头部信息进行修改。修改过后的网络请求经过运营商代理服务器与计费检测系统得到不一样的效果,运营商代理服务器检测到的是真实访问的IP,而计费检测系统检测到的是免流IP。

早期出现了很多种“简单粗暴”的免流模式,传播较广的有前\后缀免流、端口免流、伪彩免流、双Host(或是Host—X-Online-Host)免流等,这些免流模式分别利用了运营商提供的免流前\后缀、免流端口与免流文件类型、以及运营商不检查多个重复字段的策略。随着运营商系统不断优化升级,不同地区运营商已根据自身策略情况在其代理服务器与计费检测系统中逐渐加入了针对此类攻击的校验机制,如校验获取的Host与Host字段内容的一致性、封掉原来的137/138免流端口、一旦检测到多Host或X-Online-Host字段就不免流等。

然而,免流模式也在随着运营商计费检测系统的升级不断演变。现今多数免流模式都采用了“字段伪装”的方式,即通过某些混淆信息将特定字段伪装起来,使代理服务器能够识别该字段而计费检测系统识别不了该字段,以此来达到蒙骗计费检测系统的目的。这种混淆信息可能是一个新的请求头字段,也可能是对原有字段的修改,甚至还有可能是一个空格或一个特殊字符等。

通常情况下,运营商代理服务器只能够解析三种固定格式的请求头,对于这三种固定格式的网络请求,代理服务器从中读取IP的方式是固定的(HTTPs与HTTP请求头有差异,这里以HTTP为例):

1.请求方法中的Host与Host字段一致:此时运营商代理服务器直接解析请求方法后跟的www.baidu.com

Clipboard Image.png

2.请求方法后Host信息缺省:运营商代理服务器主动放弃从请求方法行寻找Host,转而解析Host字段内容www.baidu.com,并把Get后的内容作为Uri:

Clipboard Image.png

3.请求头中存在X-Online-Host(移动私有代理协议)字段:运营商代理服务器会优先解析X-Online-Host的内容为Host:

Clipboard Image.png

目前存活的免流模式绝大多数都是在以上3种固定请求头格式上做文章,通过免流模式对其进行增删改。由于运营商系统的不断升级完善,免流模式十分灵活多变,并且更新换代的速度很快,通常特定的模式只能留存很短的时间,一旦免流模式所针对的缺陷被修补,该模式将不再奏效。同时,由于运营商计费检测机制不透明,新的有效的免流模式往往要经过很多次试验才能被发现。

四、免流模式实例

以伪装双Host免流模式为例。伪装双Host免流模式即伪装起来的双Host字段请求头——去掉原请求头中请求方法后跟的Host,并且添加一个新的Host字段,使修改后的请求头实际上拥有两个Host字段。由于现在绝大多数运营商计费检测系统屏蔽了(不免流)双Host流量,所以必须把其中一个Host字段通过某种方式伪装起来,使计费检测系统识别不了它,具体实现方式是通过免流模式向请求头中加进混淆信息。

以一款名为“离调双Host”的Tiny免流模式为例,下图为该免流模式配置,其中http_ip表示代理服务器IP、http_port表示代理服务器监听端口、http_del表示删除原请求头中的指定字段、http_first表示按指定格式修改请求头首行。

Clipboard Image.png

图8 免流模式文件

设备中各应用程序发起的网络请求(除跳点外)在进入运营商代理服务器之前,会被核心模块按照以上文件配置进行修改,如下图左的请求头被修改后将会变成如下图右所示:

Clipboard Image.png

图9 修改前后的网络请求头对比

经该免流模式处理过之后,原HTTP请求头中出现了两个Host,其中一个Host前有两个中文字符,而请求方法行中已经没有了Host信息。根据上文提到的第(2)种固定请求头格式,对于新请求头,运营商代理服务器读取到的Host是www.baidu.com,而对于计费检测系统,因为有两个中文混淆字符,其不能从第二行开头获取Host字段标识,所以它选择从第三行的Host字段去获取Host——wap.10086.cn这个免流Host,因此最终达到了免流的目的。

以上只给出了一种经典的免流模式案例,现今存活的很多免流模式伪装方式千奇百怪,但万变不离其宗,最终的效果都是要欺骗计费检测系统去获取免流Host并以此实现免流。

五、定向流量卡

现在市场上有很多的“免流卡”,例如腾讯大王卡/天王卡、微博大V卡、蚂蚁宝卡等等,通常是互联网厂商与运营商合作推出的、促进本厂软件推广、增加用户粘性的手段。这类“免流卡”的主要特色是对特定来源的流量不收取流量费或一定限额内不收取流量费。以腾讯和联通合作推出的大\小王卡为例,运营商计费检测系统在检测到流量属于“腾讯系”(微信、腾讯视频、王者荣耀等)流量时,流量被自动计入包月的定向流量包,从而实现面向用户的免流。因此,与之前介绍的免流原理不同,这类“免流卡”实际上是一种定向流量包。

第三章 付费免流软件生态

一、完整的角色分工

免流软件发展至今已经有了成熟的生态链,这种生态链围绕着付费免流软件展开。目前付费免流软件的主要活跃场所是QQ群,我们一共找到了430个免流相关QQ群。免流QQ群在整个付费免流软件交易链中扮演着纽带角色,它为不同参与成员提供了一个咨询沟通与交易平台。在一个完整的免流QQ群中,主要包含以下几种角色:

(一)  模式贡献者

模式贡献者是指提供免流模式的成员,这些成员负责向购买免流软件的用户提供可用的免流模式并不定时更新免流模式。因为免流模式决定了免流软件是否可用,因此这类成员是免流QQ群赖以运行的基础,一般是群主或者管理员。免流模式通常由模式贡献者自己学习编写或者从别处收购而来;

(二)  推广代理

推广代理是指不涉及免流软件销售、仅负责对交易平台进行推广的成员,其主要职责是寻找有使用免流意向的用户,拉其加入所在QQ群,并向用户推荐咨询购买人。通常推广代理的收入来源与其成功拉进QQ群的用户数量成正比;

(三)   分销代理

分销代理是指位于群主&管理员与用户之间的分销人,其通常出现在提供了云免流的QQ群中,成为分销代理需要先交纳一定金额的代理费。分销代理的主要任务是从群主&管理员处以低于直销价格的价钱批发云免流卡密,并以高价分销给用户。如下为一个QQ群提供的分销、加盟价格表,可以看到分销代理拿到的价格远低于用户直接从群主&管理员处购买的价格,分销代理正是利用这种价格差获利;

Clipboard Image.png

图10 免流QQ群拿货价格表

(四)   加盟者

加盟者相当于高级代理,同样也要先缴纳一定金额加盟费,加盟费要高于代理费。成为加盟者后,不仅可以用比分销代理更低的价格购买免流模式与卡密,还可以像群主学习编写免流模式,并自主经营销售群主或自己编写的免流模式,其获利空间远大于推广代理与分销代理;

(五)   用户

用户是免流软件的最终消费者,其可以从群主&管理员处直接购买免流软件,也可以通过分销代理购买。购买免流软件的用户在免流模式失效后通常可以免费获取新的免流模式;

(六)   群主&管理员

群主与管理员作为免流QQ群的管理者负责统筹全局,除了最基本的QQ群管理、咨询答疑任务外,通常还负责直销、提供免流模式、招收代理加盟等任务。

Clipboard Image.png

图11免流QQ群中的信息流(蓝色)与资金流(红色)

除了出售免流软件与模式,部分免流QQ群还提供额外的App定制与服务器租赁业务,为用户提供“全方位”、“一条龙”的服务。同样,这种业务价格也不高,给用户一种“远比从运营商那里购买流量划算”的感觉。付费免流软件主打的就是“低价格”牌,以远低于运营商的价格为用户提供流量服务。实际上,这种“薄利多销”的方式带来的收入相当可观,因为免流软件是一种几乎不需要成本的软件,一方面开发成本低,免流软件框架都是通用的,只需填入新的免流模式即可,而免流模式开发门槛低,一旦学会可以无限尝试;另一方面运营成本低,维护好一个QQ群并定期更新模式或贩卖卡密即可无限获利。

二、免流QQ群

在我们发现的免流QQ群中,有22个是付费群,入群付费金额从0.1~10元不等,其他的是免费群,基本只要申请加群就可立即进群。这些群分布于全国各个地区,尤以广东、山东居多。此外,在这些群中甚至有6个拥有QQ群平台认证机构标签。

Clipboard Image.png

图12免费、付费以及具有认证机构标签的QQ群

通过对群主与成员分布分析后发现,这些QQ群的群主基本都是90后与00后,而在群成员中,男性比例远高于女性比例,90、00后成员比例远高于其他年龄段比例。免流软件的用户群普遍偏年轻化与男性化,这与用户群的收入、“黑科技”关注度有一定关联。

Clipboard Image.png

图13活跃度前十的免流QQ群中的性别、年龄段占比

通过对这些免流QQ群的长期观测发现,群成员数在稳步增长,免流模式也在不断更新,免流群保持着相当活跃的状态。此外我们还发现,不少免流群经营的业务并不限于免流软件,而是同时涉及了代刷代挂、游戏外挂、黑客工具等多种产业,而这些产业都是勒索软件中占比较高的伪装类别。

三、免流的“风险”与“暗阱”

免流软件以“减免”流量费吸引用户,实际上背后隐藏着很多风险。一方面,免流软件实质是一种利用运营商计费检测系统机制打擦边球谋取私利的行为,虽然现在没有明文法律规定禁止,但这种不规范行为极有可能受到严惩;另一方面,普通用户不易识别免流软件的真伪,盲目下载安装或付费购买有较大安全隐患。

(一)   免流有“风险”

免流是一种“小偷”行为,一旦被查处后果严重。自2017年起,部分地区的运营商已经开始严打“流量小偷”,如广西移动2017年初发表了严打不正当使用流量的行为的公告:

Clipboard Image.png

图14广西移动关于严打免流软件的公告

工信部也在2017年初发表清理规范互联网网络接入服务市场的公告,VPN接入也在清理之列。无论是本地免流还是云免流在未来都有可能面临被“一锅端”的局面,窃取流量的行为极有可能为自身带来严重后果(赔款、被起诉、抹黑信誉)。

Clipboard Image.png 

图15用户反馈的使用免流后收到来自运营商的警告或罚款短信(来自百度贴吧)

免流有效时间有限,得不偿失。由于VPN市场被整治与运营商对计费检测系统的升级完善,特定免流软件可能过一段时间就失效了。有些人花费钱财去购买免流模式与云免流卡密,但却很快就不能用了,得不偿失;

免流软件泛滥,真假难辨。出于免流软件可以免费无限使用流量的特性,免流本身就会容易吸引用户下载安装与传播,一些恶意软件开发者打着免流的噱头诱导用户下载安装,安装后却实施恶意行为,比如锁屏勒索、诱导下载安装、隐私窃取等。对于云免流,由于VPN免流服务器搭建流程简单、成本较低,恶意软件开发者甚至可以用较低的花费搭建虚假免流平台,为进一步实施恶意行为做铺垫。此外,云免流所用到的服务器绝大多数都是租赁的,有租用期限限制,很多免流平台所有者因VPN服务器租用期满就放弃了维护免流平台甚至卷款潜逃,因此造成钱财损失的用户与分销代理比比皆是。

(二) 免流藏“暗阱”

除了锁屏勒索,还有很多其他类型的恶意软件也热衷于利用免流旗号推广传播,常见的有诱骗、隐私窃取、私自安装、恶意广告等,而由于少部分可用的免流软件还来源于各大贴吧论坛,用户在从这些地方下载未知来源的所谓的免流软件时通常会降低防备,这进一步给利用免流行恶的软件的传播带来了空间。

1. 诱骗

这类软件启动后用“免流插件”或“免流注册”等形式诱导用户进行下载、支付、或填写隐私信息,造成用户资费消耗、隐私信息泄露甚至财产损失。下图是一款名为“TY免流”的软件,启动后显示软件注册页面,要求用户通过QQ联系开发者,在联系到开发者后,该QQ所属人要求用户支付一定金额才提供给用户注册码,但实际上该软件本身并未包含有效代码,所以是诈骗的可能性较大。对用户而言,这类付费购买真假难辨,盲目付费极有可能造成财产损失。

Clipboard Image.png

图16 冒充免流软件进行诱骗

2. 远控&隐私窃取

这类恶意软件伪装成免流软件诱导用户下载,启动后通常会隐藏桌面图标并在后台接收远控指令,根据远端服务器发送过来的指令监控短信或通话记录、私发信息、窃取用户隐私,给用户的隐私与财产安全带来了严重威胁。下图为一款名为“王者免流”的软件,软件启动后立即隐藏图标,并在后台接收控制指令进行拦截与转发短信、获取通讯录、私设来电转移等恶意行为。

Clipboard Image.png

Clipboard Image.png

图17 冒充免流软件远控窃取隐私

3. 私自安装

这类恶意软件开启后从界面上看与免流软件无异,以成功搭建免流环境为由要求用户授予root权限,随后私自拷贝其他推广或恶意应用至系统目录并强制重启手机完成安装。实际上,由于root权限是某些特定模式的免流软件必备的条件,只要恶意软件以免流名义申请root,用户通常都会直接授予,而一旦被授予root权限,恶意软件相当于接管了用户设备,想干什么都可以。下图为一款名为“云流量”的应用,在获取root权限后把一个勒索子包放到了系统应用目录下,随后立即重启手机完成恶意子包的安装:

Clipboard Image.png 

图18 冒充免流软件私自安装

4.恶意广告

免流软件也是恶意广告重灾区,恶意广告正好利用了免流软件易于传播的特性。有些恶意广告打着免流软件幌子实际根本没有免流功能,而有些则是重打包那些传播较广的免流软件,并在其中插入了恶意广告插件。下图为一款名为“鑫哥本地云免流”的软件,该软件具有云免功能,但启动后会定时弹出霸屏广告,此时用户不小心碰到屏幕就会下载软件,严重影响了用户对设备的正常使用:

Clipboard Image.png 

图19 冒充免流软件插播广告

结束语

勒索软件冒充免流软件传播的现象已经屡见不鲜,用户设备安全收到了严重损害。免流软件作为一种不规范利用运营商计费机制的流量窃取软件,拥有着一定用户群与传播渠道。免流软件的肆意传播会给运营商与用户带来财产损失与不可预知的风险,对于运营商而言,免流软件带来的流量外泄会给企业系统安全与盈利带来不利影响;对于用户而言,诸如勒索软件一类冒充免流软件诱导下载的软件会给用户隐私财产安全带来威胁。

面对此种现状,运营商、用户都应该积极应对、减少自身损失。

运营商。运营商作为数据流量供应商与免流针对的受损方,从自身利益出发应该对免流软件“主动出击”,密切关注免流软件动态,跟进最新的免流模式原理,并及时升级完善计费检测系统,尽早预防免流软件对企业系统与盈收造成影响;

用户。免流软件本身就是一种不规范的软件,此外很多恶意软件都盯上了免流这块“沃土”,肆意使用不仅有违规被罚的风险,用户个人隐私、财产与设备安全也将面临很大的风险。建议用户谨慎使用免流软件,尽可能通过正规途径获取流量。

*本文作者:360安全卫士,转载请注明来自FreeBuf.COM

# 勒索软件 # 免流
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者