火絨安全威脅情報中心發(fā)布技術(shù)分析報告���,曝光搜狗輸入法通過云控下發(fā)機(jī)制����,在用戶不知情的情況下篡改瀏覽器配置�,強(qiáng)制修改用戶主頁和默認(rèn)搜索引擎設(shè)置。此惡意行為涉及搜狗輸入法15.7.0.2192版本��。
一、云控系統(tǒng)精準(zhǔn)投放惡意配置
據(jù)火絨安全技術(shù)團(tuán)隊(duì)分析����,搜狗輸入法通過其Shiply終端基礎(chǔ)發(fā)布通用模塊向云端請求控制配置,在下發(fā)云控配置過程中會結(jié)合用戶畫像進(jìn)行精準(zhǔn)推送 ���。該系統(tǒng)會根據(jù)用戶所在地區(qū)��、使用時間等多個維度進(jìn)行定向投放���,由于Shiply平臺具備灰度發(fā)布能力,攻擊者很可能先通過小范圍灰度測試驗(yàn)證效果��,再進(jìn)行大規(guī)模傳播����。
攻擊流程圖(源:火絨安全)
整個過程極為隱蔽,通常在用戶毫無察覺的情況下完成:
觸發(fā)機(jī)制:當(dāng)用戶使用搜狗輸入法時����,搜狗輸入法借助SGBizLauncher.exe程序附加參數(shù)"-lappid=configupdate"進(jìn)行云控配置拉取,其核心組件SogouPY.ime會被系統(tǒng)加載�����。該組件會每隔六小時通過名為SGBizLauncher.exe的程序�,向云端服務(wù)器請求最新的控制配置 。當(dāng)用戶切換至搜狗輸入法時�,該DLL組件會被自動加載,從而觸發(fā)后續(xù)的云控下發(fā)機(jī)制�。
6小時間隔拉取云端配置(源:火絨安全)
惡意模塊下發(fā):一旦云端指令下達(dá),輸入法程序便會下載并執(zhí)行惡意推廣模塊https://ime.gtimg.com/pc/brspgchange20250811x64_a.dat����,下載完畢后,運(yùn)用 MD5 算法計(jì)算所得 MD5 值�����,并與 task_body_md5 進(jìn)行比對�,以確認(rèn)二者是否一致。下載的配置文件經(jīng)過加密處理����,其解密需運(yùn)用云控配置中的 key(98c0b113a40fe1790d9e116d75dcfcff) 與字符串 "secret" 異或出新的 key,隨后以該新的 key 為密鑰����,采用 AES 算法 CBC 模式進(jìn)行解密。隨后,將解密后的推廣模塊以手動加載的方式載入內(nèi)存����,由此進(jìn)入推廣模塊的主要邏輯。
篡改瀏覽器配置:惡意模塊會直接對Chrome���、Edge等主流瀏覽器的核心配置文件(如Preferences�、Secure Preferences等)進(jìn)行修改���,強(qiáng)制將用戶設(shè)定的主頁和默認(rèn)搜索引擎更改為推廣網(wǎng)址 ��。
篡改瀏覽器的內(nèi)容(源:火絨安全)
篡改后的瀏覽器配置(源:火絨安全)
二�、惡意模塊專門鎖定主流瀏覽器
火絨安全監(jiān)測發(fā)現(xiàn)����,該惡意推廣模塊會首先檢測用戶設(shè)備上的殺毒軟件(尤其是360安全和火絨安全),隨后通過篡改配置文件的方式�,強(qiáng)制修改Edge與Chrome兩款主流瀏覽器的主頁及默認(rèn)搜索引擎設(shè)置 。具體而言���,惡意模塊會修改瀏覽器的Preferences��、Secure Preferences�����、Bookmarks等關(guān)鍵配置文件�����,實(shí)現(xiàn)對用戶瀏覽習(xí)慣的強(qiáng)制干預(yù)�。
通過寫入 Preferences 與 Secure Preferences 配置文件的方式將 template_url_data 中 url 設(shè)置為 https://baidu.wenxin9.com/?word={searchTerms}&type=0002&ie={inputEncoding}�����。之后用戶再次搜索內(nèi)容時先跳轉(zhuǎn)到 https://baidu.wenxin9.com/?word=搜索內(nèi)容&type=0002&ie=UTF-8����,最終跳轉(zhuǎn)至 www.baidu.com/s?tn=75144485_10_dg這類帶有來源標(biāo)識的鏈接并從中獲利。
地域性精準(zhǔn)打擊策略:據(jù)技術(shù)分析顯示�,搜狗的云控系統(tǒng)具有地域識別功能,會根據(jù)用戶所在地區(qū)下發(fā)不同的配置��,這種精準(zhǔn)投放策略使得部分地區(qū)用戶更容易成為受害目標(biāo)�����。
Shiply 平臺中測試設(shè)置云控下發(fā)條件(源:火絨安全)
三���、彈窗廣告觸目驚心
強(qiáng)制彈窗廣告泛濫:搜狗輸入法通過輸入法組件biz_helper.exe 程序傳遞參數(shù)type=systoast 啟動以試圖彈窗���。彈窗初期可以通過點(diǎn)擊彈窗中的“…”選擇《關(guān)閉搜狗輸入法的所有通知》或《轉(zhuǎn)到通知設(shè)置》進(jìn)入系統(tǒng)通知設(shè)置中關(guān)閉搜狗輸入法彈窗通知��,從而關(guān)閉彈窗�����。但用戶反饋該方法只能滿足初期的訴求�,一段時間后發(fā)現(xiàn)彈窗中“…”后兩個按鈕都變成灰色��,導(dǎo)致進(jìn)入系統(tǒng)通知設(shè)置�,也無法關(guān)閉搜狗輸入法相關(guān)選項(xiàng)。
隱藏通知設(shè)置中搜狗輸入法項(xiàng)(源:火絨安全)
避免彈窗的3種方法:
1. 全局通知開關(guān):Windows系統(tǒng)自帶設(shè)置中全局通知開關(guān)�����,將開關(guān)數(shù)據(jù)存儲于注冊表 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications 項(xiàng) ToastEnabled 鍵值中����。
2. 局部搜狗輸入法通知開關(guān):系統(tǒng)自帶設(shè)置中局部通知開關(guān),將開關(guān)數(shù)據(jù)存儲于注冊表 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Sogou.Ime.SysToast.Biz 項(xiàng) Enabled 鍵值中�����。
3. 搜狗輸入法自帶開關(guān):搜狗輸入法設(shè)置中《桌面右下角推薦》選項(xiàng),該選項(xiàng)數(shù)據(jù)將會存儲于注冊表 HKEY_CURRENT_USER\SOFTWARE\SogouInput.store.user 項(xiàng) systoast_enable 鍵值中�����。
然而發(fā)現(xiàn)搜狗輸入法會根據(jù)云控下發(fā)的配置(systoast_general_config_1)忽略全局通知開關(guān)(ignore_sglb_switch)�����、局部搜狗通知開關(guān)(ignore_sys_switch)�����、搜狗輸入法設(shè)置開關(guān)(ignore_ime_switch)等���,并無視用戶所配置的開關(guān),其中實(shí)測發(fā)現(xiàn)若關(guān)閉系統(tǒng)中開關(guān)����,則無法彈出窗口。另外���,分析時獲取到的云控配置中并未包含 ignore_ime_switch 字段���,意味著當(dāng)前云控配置下搜狗輸入法提供的彈窗開關(guān)是有效的���。
編輯:小熊貓
封面:初 心
綜合于火絨安全
閱讀原文:https://mp.weixin.qq.com/s/PDTkXYYuzQy-O7KzSqxayw
該文章在 2025/9/23 14:28:36 編輯過
400 186 1886
