欧美午夜人成精品_好姑娘3完整版在线观看中文韩剧_性ⅩXX东北老太老头国产_一个添下面两个吃奶把腿扒开_日本波多野结衣无码黄色一级视频_国产剧情麻豆正在播放_亚洲欧美另类日韩变态首页_亚洲av免费影视_91免费在线播放_五月丁香婷婷综合

在人工智能技術快速發(fā)展的當下，各類AI應用不斷涌現(xiàn)，作為提升網(wǎng)絡效率的創(chuàng)新載體，AI瀏覽器憑借其個性化推薦、智能交互等特性，正獲得越來越多用戶的青睞。但是，經(jīng)研究發(fā)現(xiàn)，這類工具正面臨雙重安全威脅：一方面，部分AI瀏覽器可能暗藏惡意程序，成為病毒傳播的新渠道；另一方面，惡意軟件也可借助AI瀏覽器進行投放，偽裝成正常功能，在后臺下載并釋放病毒，危害用戶設備安全。本文將對AI瀏覽器的安全隱患及其傳播模式進行分析，期望有助于您更好地了解和防范相關風險。

近期，火絨威脅情報中心監(jiān)測到一款Chat_AI瀏覽器正在廣泛傳播并釋放病毒，危害用戶設備與數(shù)據(jù)安全。分析顯示，該Chat_AI瀏覽器擁有正規(guī)軟件簽名，通過對Chromium內(nèi)核進行二次打包，將惡意代碼隱藏在其中，并通過“白加黑”釋放惡意文件，從而部署遠控后門。目前，針對這一威脅，火絨安全產(chǎn)品對于網(wǎng)頁下載的偽造瀏覽器，支持查殺以及能夠識別并阻止來源不明的應用安裝或執(zhí)行，保障用戶系統(tǒng)的安全，請廣大用戶及時更新病毒庫以提高防御能力。

查殺圖

火絨工程師通過對Chat_AI瀏覽器溯源分析，發(fā)現(xiàn)其數(shù)字簽名來自于Hunan Jialiang Communication Technology Co., Ltd.（未吊銷，證書有效）。進一步對搜索引擎進行溯源后，確認該軟件源自一家商業(yè)軟件公司——湖南嘉量網(wǎng)絡科技有限公司，且其網(wǎng)站信息均已備案。

數(shù)字簽名

搜索引擎溯源結果

公司信息

備案信息

此外，研究發(fā)現(xiàn)當網(wǎng)址為http://aixiaoyu.net/（以http開頭）時會跳轉到其官網(wǎng)，為https://aixiaoyu.net/（以https開頭）時則跳轉到投毒頁面。

官網(wǎng)頁面

投毒頁面

樣本執(zhí)行流程圖如下：

流程圖

經(jīng)過對初始樣本的綜合動靜態(tài)分析，發(fā)現(xiàn)該樣本實質(zhì)上是對Chromium內(nèi)核進行二次打包后的“套皮版”Google Chrome瀏覽器。軟件開發(fā)者在代碼中嵌入了惡意函數(shù)，并對其進行合法簽名，命名為ChatAI瀏覽器。具體執(zhí)行流程如下：

首先，程序通過一個全局變量標志位來判斷是否激活惡意行為。

隨后，樣本將AI瀏覽器的卸載信息寫入注冊表，以此來偽裝安裝痕跡，使用戶難以察覺其存在。

接著，主程序開始執(zhí)行，釋放白加黑文件，完成惡意代碼的加載。

最后，在惡意行為執(zhí)行完畢后，自動刪除AI瀏覽器的更新文件，以隱藏痕跡。

后門函數(shù)

注冊表寫入卸載信息

其惡意木馬的主函數(shù)首先通過一系列的反調(diào)試和反虛擬機檢測來判斷當前運行環(huán)境是否安全。這一過程主要包括檢測是否存在抓包工具、Procmon、火絨安全分析工具、PCHunter以及VMware常用監(jiān)控和虛擬化軟件。

反調(diào)試反虛擬機

該檢測函數(shù)通過調(diào)用Windows API EnumWindows回調(diào)函數(shù)，遍歷當前系統(tǒng)中的所有窗口。在回調(diào)過程中，函數(shù)會獲取每個窗口的標題、類名等關鍵信息，并將其與常見抓包工具的窗口信息進行比對。

獲取窗口信息，檢測抓包工具

通過窗口信息檢測procmon。

檢測Procmon

通過回調(diào)函數(shù)檢測火絨安全分析工具。

檢測火絨劍

通過枚舉驅(qū)動信息檢測PChunter。

檢測PChunter

通過查詢注冊表信息檢測VMWare。

檢測VMWare

隨后通過獲取特殊目錄路徑，并利用命令行的方式創(chuàng)建目錄Microsoft\Vault。

命令行創(chuàng)建目錄

創(chuàng)建成功后，惡意木馬利用COM接口{148BD527-A2AB-11CE-B11F-00AA00530503}（TaskScheduler接口）進行計劃任務的管理操作。具體流程如下：

通過TaskScheduler接口，查找并刪除已存在的計劃任務CrashKernel，以避免與此前可能創(chuàng)建的任務產(chǎn)生沖突。

以相同名稱CrashKernel重新創(chuàng)建計劃任務，并將其指向惡意文件，從而使其能夠在系統(tǒng)啟動或特定時間點自動執(zhí)行。

惡意木馬隨后釋放騰訊QQ游戲的合法組件（如QQGame.exe或TXPlatform.exe），并利用“白加黑”技術（即濫用合法簽名程序執(zhí)行惡意代碼）。

C:\Users\Admin\AppData\Roaming\Microsoft\Vault\TXInstallUser.exe

C:\Users\Admin\AppData\Roaming\Microsoft\Vault\ Factory.dll

計劃任務、白加黑文件

通過com組件{148BD527-A2AB-11CE-B11F-00AA00530503}刪除計劃任務CrashKernel。

刪除計劃任務

之后首先通過查詢計劃任務狀態(tài)，并通過com組件{148BD524-A2AB-11CE-B11F-00AA00530503}創(chuàng)建計劃任務：CrashKernel。

查詢RPC服務狀態(tài)

查詢Schedule狀態(tài)

創(chuàng)建計劃任務

計劃任務

隨后采用相同手法創(chuàng)建目錄Microsoft\Crypto，但在實現(xiàn)自啟動方式上有所不同。此次不再依賴計劃任務，而是通過創(chuàng)建系統(tǒng)服務的方式實現(xiàn)開機自啟，并繼續(xù)利用“白加黑”技術釋放惡意文件。具體步驟如下：

創(chuàng)建Microsoft\Crypto目錄，用于存放后續(xù)釋放的惡意文件。

通過創(chuàng)建系統(tǒng)服務的方式，確保惡意程序能夠隨系統(tǒng)啟動自動運行。

釋放迅雷看看相關組件，并利用“白加黑”技術加載惡意代碼。

釋放白加黑文件

服務自啟動

之后以同樣的方式創(chuàng)建服務開機自啟，以及釋放微軟符號工具相關組件。

白加黑文件

其中，這三個白加黑文件的功能具有相似的后門特性，以下以騰訊QQ游戲相關組件為例進行說明：

文件首先通過互斥體的方式檢測目標進程是否已存在。

如果目標進程尚未運行，惡意文件將創(chuàng)建互斥體，確保該進程在同一時間內(nèi)只會被啟動一次。

互斥體

創(chuàng)建互斥體

注入主邏輯函數(shù)的執(zhí)行流程如下：

• 如果目標進程為32位，木馬使用天堂之門技術進行x64進程注入。
• 如果目標進程為64位，則使用遠程線程注入技術。

進程注入

獲取進程權限信息

svchost進程PID

svchost進程

權限SID值

之后復制svchost進程的句柄。

復制句柄

然后判斷進程位數(shù)。

判斷進程位數(shù)

根據(jù)進程位數(shù)選擇相應的注入方式：

如果是位數(shù)是32位，采用天堂之門進行注入。

天堂之門

天堂之門調(diào)用遠程線程注入

如果位數(shù)是64位，則采用直接遠程線程注入的方式將惡意代碼注入svchost進程。

遠程線程注入

通過對從文件中dump出來的后門DLL進行分析，發(fā)現(xiàn)無論是64位還是32位版本，都采用相同的后門功能代碼。在DLLMain中，惡意代碼的執(zhí)行流程如下：

首先，通過互斥體檢測后門是否已經(jīng)在系統(tǒng)中運行。如果檢測到進程尚未啟動，惡意代碼將繼續(xù)執(zhí)行。

隨后，惡意代碼通過與前述相同的反調(diào)試與反虛擬機檢測手段來規(guī)避分析工具的監(jiān)控，包括檢測抓包工具、Procmon、安全分析工具、PCHunter 和 VMware。

在通過上述檢測后，惡意代碼會創(chuàng)建一個新線程，開始執(zhí)行后門主邏輯，確保后門的持續(xù)運行和遠程控制功能。

DLLMain函數(shù)

隨后，將上線標志寫入注冊表信息當中。

注冊表寫入標志

首先檢測是否存在C:\\debugger目錄，如果該目錄存在，將其寫入日志文件，記錄相關信息；若目錄不存在，則函數(shù)直接返回。

日志信息

之后對www.msftconnecttest.com/connecttest.txt進行網(wǎng)絡測試，以檢測是否能夠成功連通。

網(wǎng)絡測試

通過枚舉驅(qū)動的方式檢測火絨、卡巴斯基、360、QQ電腦管家驅(qū)動文件。

枚舉驅(qū)動

隨后，收集本機信息并將上線信息發(fā)送到C2。

上線信息

通過匹配返回值以任務插件的方式執(zhí)行后門功能。

任務插件

對接收回來的任務執(zhí)行插件注入。

注入DLL

恢復線程注入

C&C：