软件测试之主机安全测试工具——Nessus
Nessus是著名信息安全服务公司tenable推出的一款系统漏洞扫描与分析软件,提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,可同时在本机或远端上遥控,进行系统的漏洞分析扫描(Nessus从2005年不再开源)。
参考链接:
不管是安装哪个版本,安装的时候都是要激活码的,所以要提前申请激活码。
地址:
Email地址要写对,激活码会发到你注册的Email中。
下载链接(官网):
下载对应系统的Nessus工具版本,安装过程全部选择默认即可(若修改工具安装目录,更新插件等操作需要在工具安装目录下执行),最后单击Finish按钮,退出安装向导界面,将自动在网页中打开继续配置界面,一般会收到Download Fail页面。
选择高级选项–继续访问,然后创建一个用户,然后点击继续。
分为在线更新和离线更新。一般情况下,在线更新可能会因为网络的问题导致中途异常停止,因此建议采用离线更新的形式进行更新插件。
下载地址:
打开后需要输入两个信息,一个是挑战码(Challenge Code),另一个是Activation Code 。挑战码在Nessus工具安装目录(如c:\\Program Files\\Tenable\\Nessus>)下执行nessuscli fetch –challenge命令获取。Activation code由邮件重新获得,之前一个已经被使用过而失效。
将获取到的激活码和挑战码填入到网页中,然后点击提交,这个时间可能会有点长,耐心等待即可,切勿在提交之后刷新页面。提交成功之后在新的页面中将Nessus.license文件和all-2.0.tar.gz插件下载下来放到nessus安装目录中。
更新插件方法如下:将插件放到nessus工具安装目录下,然后在nessus安装目录下执行nessuscli.exe update all-2.0.tar.gz进行安装。
导入license文件:将nessus.license文件拷贝到nessus工具安装目录下,然后执行nessuscli.exe fetch –register-offline nessus.license
鸿蒙安全控件之保存控件简介
保存控件是一种特殊的安全控件,它允许用户通过点击按钮临时获取存储权限,而无需通过权限弹框进行授权确认。
集成保存控件后,当用户点击该控件时,应用会获得10秒内访问媒体库特权接口的授权。这适用于任何需要将文件保存到媒体库的应用场景,例如保存图片或视频等。
与需要触发系统应用并由用户选择具体保存路径的Picker不同,保存控件可以直接保存到指定的媒体库路径,使得操作更为便捷。
保存控件效果如图所示。
- 当用户首次点击应用中的保存控件,系统将弹窗请求用户授权。如果用户点击“取消”,弹窗消失,应用无授权,用户再次点击保存控件时,将会重新弹窗;如果用户点击“允许”,弹窗消失,应用将被授予临时保存权限,此后点击该应用的保存控件将不会弹窗。
- 应用在onClick()触发回调到调用媒体库特权接口的时间间隔不能大于10秒。
- 用户点击一次控件,仅获取一次授权调用。
- 为了保障用户的隐私不被恶意应用获取,应用需确保安全控件是可见的且用户能够识别的。开发者需要合理的配置控件的尺寸、颜色等属性,避免视觉混淆的情况,如果发生因控件的样式不合法导致授权失败的情况,请检查设备错误日志。
以保存对话中图片为例,应用仅需要在前台期间,短暂使用保存图片的特性,不需要长时间使用。此时,可以直接使用安全控件中的保存控件,免去权限申请和权限请求等环节,获得临时授权,保存对应图片。
- 导入文件和媒体库依赖。
- 设置图片资源,并添加保存控件。保存控件是一种类似于按钮的安全控件,由图标、文本和背景组成。其中,图标和文本至少需要有一个,背景是必选的。图标和文本不能自定义,只能从已有的选项中选择。在声明安全控件的接口时,有传参和不传参两种方式。不传参将默认创建一个包含图标、文字和背景的按钮,传参则根据参数创建,不包含未配置的元素。
360安全卫士极速版“诱导式”推广 静默安装且对抗安全软件
近期有较多网友反馈电脑被无故安装360安全卫士极速版。经火绒工程师溯源发现,目前360安全卫士极速版正通过购买搜索引擎排名、弹窗提示等“诱导式”手段推广并静默安装。根据火绒威胁情报系统监测显示,从年初至今,已有超千万用户受到360系软件上述推广行为的影响,且于近期呈大幅上升趋势。
值得关注的是,360安全卫士极速版的整套推广流程,存在较为明显的对抗痕迹,即对火绒安全等多款安全软件进行检测规避,甚至利用系统程序隐匿推广行为(注入explorer进程)。
360安全卫士极速版“诱导式”推广呈现以下形式:
购买搜索引擎排名,即利用其他搜索引擎和360搜索引擎的软件推广链接,诱导用户点击下载推广包,随后静默安装360安全卫士极速版;
弹窗提示,即用户已安装的360系软件弹出“清除垃圾文件”、“运行速度优化”等提示,用户在未关注到小字安装说明的情况下,点击清理,就会被静默安装360安全卫士极速版;
除此之外,360系软件也会通过网络请求360下载安装模块,涉及相关行为的软件进程包括:360huabao.exe(360画报,360安全浏览器会附带安装)、360pic.exe(360安全浏览器服务组件)、360影视大全、360桌面助手等。
火绒安全产品“软件安装拦截”功能可及时提示并帮助用户阻止此类推广行为。
详细分析报告如下:
近期,火绒收到用户反馈,电脑中频繁被安装360安全卫士极速版。通过火绒威胁情报系统后台监测,我们发现360安全卫士极速版正在通过多个推广渠道进行诱导推广或静默推广。主要渠道分别为:通过搜索引擎使用高速下载器推广、通过360系列软件弹窗诱导推广。除此之外,火绒发现360系列软件组件(360huabao.exe、360pic.exe等)也会通过网络请求360下载安装模块(360ini.dll)。360相关推广行为流程图:
利用搜索引擎进行推广的方式经过调研发现目前包括两大搜索引擎,分别为360搜索以及Bing国内版。以下载安装迅雷为例,通过360搜索后得到的结果如下图所示,当用户点击红框的安全下载时,实际下载的是360高速下载器程序:
360搜索结果
使用Bing国内版搜索引擎搜索时,排行第一的为360软件管家的推广广告,点进网站中会提示使用安全下载,实际下载下来的也是360高速下载器程序,搜索内容如下图所示:
Bing国内版搜索结果
360推广网站内容
当用户运行360高速下载器时效果如下图所示:
运行360高速下载器
经过后台数据统计,利用搜索引擎推广的趋势图如下:
利用搜索引擎进行推广趋势图
360系软件弹窗诱导推广的方式,经过本地复现发现 360压缩存在利用推广弹窗诱导用户安装360安全卫士极速版的情况,弹窗情况如下图所示,由360zip.exe进程发起,用户点击“垃圾清理”按钮后将在后台静默下载安装360安全卫士极速版:
诱导推广弹窗
通过进一步的分析发现其他多款360系列软件也存在上述推广弹窗诱导用户安装360安全卫士极速版的行为。以下为部分360系列软件诱导推广弹窗截图,可以发现这类广告均以“清理垃圾文件”等话术诱导用户点击安装:
360系列软件诱导推广弹窗
经过后台数据统计,360系软件弹窗诱导推广的趋势图如下:
360系软件弹窗诱导推广趋势图
除此之外,经过后台监测,发现360系列软件也会通过网络请求360下载安装模块,涉及相关行为的软件进程包括:360huabao.exe(360画报,360安全浏览器会附带安装)、360pic.exe(360安全浏览器服务组件)、360影视大全、360桌面助手等。360系列软件请求360下载安装模块所影响的终端数量,如下图所示:
360系软件请求推广模块趋势图
推广涉及的主要文件信息如下图所示:
高速下载器文件信息
KitTip诱导推广弹窗文件信息
urlproc查询模块文件信息
Devxxx下载器文件信息
360ini下载安装模块文件信息
静默安装程序文件信息
经过分析发现当用户电脑中安装有火绒时,该高速下载器会直接调用浏览器去下载对应的软件安装包,不会执行后续静默安装操作;如果电脑中未安装火绒时,该高速下载器则会先静默下载安装360安全卫士极速版,然后通过360软件管家下载软件安装包。主要逻辑代码如下图所示,具体检查火绒以及静默安装360安全卫士极速版的代码见” 360ini.dll下载安装模块”:
360高速下载器判断逻辑
360系列软件会加载KitTip.dll模块并调用RunTip函数来执行诱导推广弹窗,该函数的首个参数为cid,传入的cid不同就能够弹出相对应的广告内容。以360压缩为例,360zip.exe进程调用RunTip函数时传入的cid为9510026,相关代码如下图所示:
获取RunTip函数地址
调用RunTip函数
首先会检查当前主机的安全防护软件安装情况,部分行为及检查上报代码如下图所示:
检查安全防护软件行为
检查防护软件安装情况并上报
检测到火绒时上报的数据
目前会检查的防护软件列表如下图:
防护软件列表
在对安全防护软件检查后,继续检查当前主机已经安装的浏览器,并对安装情况进行上报,相关行为及代码如下图所示:
检查浏览器
检查并上报安装情况
目前会检查的浏览器列表如下图:
浏览器列表
在对安装软件进行检查上报后,会通过注册表值判断当前主机是否已安装360安全卫士以及获取最后一次推广弹窗时间,若当天已经推广弹窗则不执行后续逻辑。获取推广弹窗时间的相关代码如下图所示:
检查最后一次推广弹窗时间
上述检查均通过后,会联网下载推广清单配置文件,并解析匹配传入的cid对应的配置项,相关代码如下图所示:
下载并解析KitTipConf.ini配置文件
函数内部会根据传入的cid解析获取[param_conf]中对应cid的配置,相关代码及对应的配置文件内容如下图所示:
解析配置文件param_conf内容
配置文件param_conf内容
在下载推广弹窗cab包前,会尝试加载urlproc.dll查询云端策略,用于判断是否进行弹窗,当返回策略值为pop:1或者策略获取失败时则继续执行后续逻辑,当策略为pop:0时则不推广弹窗,相关代码如下图所示:
获取云端策略
通过动态调试获取到当前的云端策略,显示pop:0表示现阶段策略为不推广弹窗,该条云端策略也与360系软件弹窗诱导推广趋势图中10月16号后的数据相对应,策略内容如下图所示:
当前云端策略
策略为不弹窗时程序退出
若策略满足弹窗条件,则会根据解析param_conf内容获取的配置内容下载相应的推广弹窗cab包,相关代码如下图所示:
下载推广弹窗图片cab包
下载推广弹窗logo cab包
下载的推广弹窗图cab包内容如下图所示:
推广弹窗图片cab包内容
推广弹窗logo cab包内容
最终根据上述下载的推广弹窗文件创建弹窗广告,并根据用户不同操作执行相应代码逻辑,相关代码如下图所示:
弹窗广告逻辑
安装函数内部最终是通过下载并加载360ini.dll该动态库静默下载安装360安全卫士极速版。相关代码如下图所示:
安装函数主要逻辑
从上述代码可看出安装方式有两种,一种是下载Devxxx.exe(xxx表示随机名)程序去加载360ini.dll模块执行下载安装;第二种是当前KitTip.dll直接加载360ini.dll模块执行下载安装。相关代码分别如下图:
通过Devxxx.exe下载
KitTip.dll直接加载360ini.dll
除上述推广安装360安全卫士极速版外,发现该安装函数内部存在其他360系列软件安装包下载及静默安装逻辑,但目前安装条件未被触发,因此没有被执行,相关软件下载逻辑代码如下图所示:
360桌面助手安装包下载及静默安装代码
360换机助手安装包下载及静默安装代码
360安全浏览器安装包下载及静默安装代码
360安全浏览器安装包下载及静默安装代码
360影视大全安装包下载及静默安装代码
360ini.dll该动态库存在多个导出函数,如下图所示:
360ini.dll 导出函数
本次推广安装主要涉及IsSafeExist和Start_UI两个导出函数。当推广是通过Devxxx.exe安装程序执行时,会先调用IsSafeExist函数判断主机是否已安装火绒安全,如果已安装火绒安全则退出程序,未安装火绒时则执行StartSafe_UI间接调用Start_UI函数执行下载安装,IsSafeExist检查火绒代码如下图所示:
通过注册表检查火绒
由于字符串被加密,经过动态调试解密后,如下图所示:
动态调试解密火绒相关字符串
在执行的Start_UI函数中,主要逻辑代码如下图所示:
Start_UI函数主要代码逻辑
函数内部会通过注入explorer.exe进程,在注入的dll中下载360安全卫士极速版安装包。主要逻辑代码如下图所示:
注入explorer
使用火绒剑可以观察到注入explorer中的dll,以及执行下载安装包的行为动作,如下图所示:
explorer被注入dll
在通过注入explorer下载360安全卫士极速版安装包后,会继续从资源中解密静默安装程序(静默安装程序为随机名)用于执行静默安装操作。主要代码如下图所示:
执行静默安装程序
使用Procmon可以观察到最终执行进程树如下图所示:
Procmon进程树
样本hash
本文作者及来源:Renderbus瑞云渲染农场https://www.renderbus.com
文章为作者独立观点不代本网立场,未经允许不得转载。
投诉举报&联系我们:
