一、背景概述

“速浪”家族從2014年開始一直是國內活躍流氓軟件的佼佼者，其早期關聯變種還包括“稻草人家族”、“考拉家族”等，該系列家族除了強鎖主頁、靜默推廣、強制彈窗等常見流氓行為外，核心惡意功能還包括構建流量暗刷僵尸網絡。

近期毒霸“捕風”威脅感知系統還監控到“速浪”家族秘密構建了一個龐大的V PN 暗刷僵尸網絡，病毒程序利用 RAS( win do ws系統遠程訪問服務 ) 連接云控指定的V PN 服務器，并在用戶系統中安裝執行開源代理軟件 Shadowsocks 服務端，其目的就是通過V PN 服務將所有感染用戶接入到同一虛擬局域網下實現網絡穿透，感染用戶徹底淪為網絡代理節點后，病毒服務端就可以在局域網內控制任意用戶節點執行網絡訪問。

如上圖所示，感染用戶成為僵尸代理節點后不僅會被占用大量網絡資源被用于流量暗刷，更大的網絡安全隱患在于，感染主機直接暴露在病毒構建的龐大V PN 虛擬局域網內，而該V PN 網絡的接入密碼憑證是硬編碼在病毒文件中的，網絡節點間并不存在任何安全信任關系，任何人都可以偽裝接入該僵尸網絡接管所有感染節點或進行內網掃描攻擊。

從我們的歷史監控數據回溯看，“速浪”家族最早從2018年就開始通過V PN 代理木馬組建僵尸網絡，而本次變種從2019年3月底開始加強活躍程度，目前正通過其旗下的“速浪輸入法”、“極速壓縮”等軟件的云控模塊進行大范圍傳播。從特殊渠道的監控數據看，“速浪”家族軟件的全網歷史安裝總量過億，在國內多家安全軟件的追殺之下，部分流氓變種至今依舊保有百萬級活躍量，所以該 VPN 僵尸網絡一旦被黑客惡意利用就會造成非常嚴重的安全影響。

除了V PN 代理僵尸網絡，“速浪”家族在流量暗刷方面也是前科累累。如上圖，毒霸安全團隊在2017年8月份曾監控到“速浪輸入法”通過云控下載“Y Y 直播”暗刷木馬，通過后臺登陸僵尸粉絲賬號，模擬操作“Y Y 直播”刷量增加主播房間人氣。友商騰訊“御見”安全團隊曾在去年針對該直播刷量木馬發布過技術分析披露，所以此處不再贅述，詳情可參考文章末尾報告鏈接。

二、技術分析

如上圖所示，“速浪”V PN 代理木馬的整體流程并不復雜，以“極速壓縮”為例，安裝包釋放“Po tity. exe”并注冊為系統服務實現自啟動，該模塊主要負責聯網下載核心模塊“tix .exe ”并循環更新。而“tix .exe ”的功能主要分為“初始配置”和“云控工作”兩大部分：

1) 初始化配置部分 ：

從模塊資源中解壓釋放 Shadowsocks 服務端“sss erver.exe ”和 RAS 連接配置文件“ Rasphone.pbk ”到程序安裝目錄下，隨后病毒模塊修改系統防火墻配置，將模塊自身、代理服務端以及代理端口加入放行列表。最后啟動其代理服務端“sss erver.exe ”，該程序基于開源項目 go-shadowsocks2 改造編譯，配置選項硬編碼在命令行參數中，加密協議為“ AES-256-CFB ”。

2) 云控工作部分 ：

完成基礎文件的釋放配置后，病毒進入云控工作部分，首先循環嘗試向服務端請求R AS 連接的目標服務器 IP ，隨后設置到配置文件并通過 Rasdial撥號 嘗試 連接 到V PN 網絡。成功建立連接以后則向服務器報告節點的內網I P 和代理端口信息，成功以后服務器返回節點I D ，病毒程序通過此I D 和服務器保持循環心跳通信。

如上，感染節點加入病毒創建的V PN 虛擬局域網，控制端收到節點上報信息后就可以通過內網I P 連接其代理服務端口，執行流量暗刷等網絡任務。

三、安全風險分析

如前文所述，拋開感染用戶被“速浪”家族 用于流量暗刷造成的安全影響不談，這一僵尸代理網絡架構本身就存在巨大的安全漏洞，黑客可以通過協議探測到所有V PN 服務器I P 地址，其賬號密碼包括代理密碼也均硬編碼在病毒文件中，接入V PN 網絡的同時就意味著控制了數十萬的代理節點，所有的感染系統也同時暴露在黑客的槍口之下。

我們通過協議請求獲取了部分V PN 服務器I P ，然后通過端口掃描和無損漏洞探測等技術手段對該僵尸網絡的小范圍I P 段進行了安全評估，結果并不容樂觀，不僅可以輕易接管控制所有網絡代理節點，暴露在內網的部分機器也很容易淪為黑客攻擊目標。

本文轉載自freebuf媒體平臺；文內觀點僅供參考。

埃文科技——網絡空間地圖測繪領域技術專家，提供最全面、最精準的網絡空間地圖服務。

公司成立于2012年，專注于網絡空間、地理空間和社會空間的相互映射，繪制三位一體的網絡空間地圖，對網絡空間資源的靜態屬性和動態變化情況進行探測。擁有19項軟件著作權及10項發明專利。