CeidPageLock:中国RootKit分析
字数 1975 2025-08-20 18:17:53

CEIDPageLock RootKit 分析与防御教学文档

1. 概述

CEIDPageLock 是一个通过 RIG Exploit 套件传播的 rootkit,本质上是浏览器劫持器。该恶意软件最早由 360 安全中心在 2018 年 5 月发现,主要针对中国用户进行攻击。

1.1 主要功能

  • 修改受害者浏览器主页为 2345.com(实际为 111.l2345.cn)
  • 监控用户浏览行为
  • 动态替换主流中文站点内容
  • 收集受害者浏览数据用于定向广告或出售

2. 传播与感染机制

2.1 传播途径

通过 RIG Exploit 套件进行传播

2.2 感染流程

  1. Dropper 释放驱动文件到 \Windows\Temp 目录(houzi.sys 或 CEID.sys)
  2. 使用浙江恒歌网络科技有限公司签名的证书(已撤销)
  3. 注册并启动驱动
  4. 发送受感染主机的 MAC 地址和用户 ID 到 C2 服务器

3. 技术分析

3.1 Dropper 组件

  • 功能:提取并释放驱动文件
  • 通信行为:
    • 目标域名:www.tj999.top
    • HTTP 请求头示例:GET /tongji.php?userid=%s&mac=%s HTTP/1.1

3.2 驱动组件

  • 32 位内核模式驱动
  • 启动方式:随系统驱动一同启动
  • 主要功能:
    • 连接两个硬编码的 C2 域名下载主页配置文件
    • 解密的主页:588.gychina.org
    • 劫持的主页 URL:111.l2345.cn(伪装成 2345.com)

3.3 版本差异

老版本 (CEID.sys)

  • 驱动文件名:CEID.sys
  • 功能相对简单

新版本 (houzi.sys)

  • 使用 VMProtect 打包,增加分析难度
  • 新增重定向功能:
    • 打开 \Driver\AFD
    • 使用 AfdFastIoDeviceControl 方法
    • 检查 HTTP 消息中的特定字符串
    • 修改接收到的消息内容而不改变浏览器显示的 URL
  • 增强的反检测能力:
    • 修改 360 安全产品的注册表项:\Registry\Machine\Software\Wow6432Node\360Safe\safemon\ATHPJUMP 值为 0

4. 关键技术点

4.1 浏览器劫持技术

  • 主页修改:将浏览器主页改为 111.l2345.cn
  • 内容替换:动态替换主流中文网站内容
  • 隐蔽重定向:不改变浏览器地址栏显示的 URL

4.2 反检测技术

  • 使用 VMProtect 保护内核驱动
  • 修改安全软件相关注册表
  • 拦截特定反病毒文件访问

4.3 数据收集

  • 收集 MAC 地址和用户 ID
  • 监控网站访问行为和时间
  • 用于定向广告或数据出售

5. 检测与防御

5.1 检测指标 (IOCs)

  • 域名:
    • www.tj999.top
    • 588.gychina.org
    • 111.l2345.cn
  • 文件哈希:
    • 打包的 dropper:C7A5241567B504F2DF18D085A4DDE559
    • houzi.sys:F7CAF6B189466895D0508EEB8FC25948
    • 解压的 dropper:1A179E3A93BF3B59738CBE7BB25F72AB

5.2 防御措施

  1. 驱动验证

    • 检查系统加载的驱动,特别是 \Windows\Temp 目录下的可疑驱动
    • 验证驱动签名,注意已被撤销的证书

  2. 网络监控

    • 监控对 tj999.top、gychina.org、l2345.cn 等域名的访问
    • 分析 HTTP 请求头中是否包含用户 ID 和 MAC 地址信息

  3. 注册表监控

    • 监控 \Registry\Machine\Software\Wow6432Node\360Safe\safemon\ATHPJUMP 等关键注册表项的修改

  4. 行为分析

    • 检测使用 AfdFastIoDeviceControl 方法的可疑行为
    • 监控对 \Driver\AFD 的访问

  5. 安全产品配置

    • 确保安全软件能够检测 VMProtect 保护的文件
    • 更新反病毒特征库以识别该恶意软件

6. 分析与取证

6.1 静态分析

  • 使用反编译工具分析 dropper 和驱动文件
  • 注意 VMProtect 保护,可能需要动态分析

6.2 动态分析

  • 监控系统驱动加载行为
  • 分析网络通信模式
  • 检查注册表修改记录

6.3 内存取证

  • 检查内核模块列表
  • 分析 AFD 相关调用

7. 总结

CEIDPageLock 虽然主要功能是浏览器劫持,但其内核级驻留能力和代码执行能力使其成为潜在的后门威胁。攻击者投入大量精力开发此类"简单"恶意软件,主要是因为其盈利能力可观。

防御此类威胁需要:

  1. 多层次的安全防护
  2. 对内核驱动加载的严格监控
  3. 对浏览器异常行为的检测
  4. 及时更新安全产品的检测规则
CEIDPageLock RootKit 分析与防御教学文档 1. 概述 CEIDPageLock 是一个通过 RIG Exploit 套件传播的 rootkit,本质上是浏览器劫持器。该恶意软件最早由 360 安全中心在 2018 年 5 月发现,主要针对中国用户进行攻击。 1.1 主要功能 修改受害者浏览器主页为 2345.com(实际为 111.l2345.cn) 监控用户浏览行为 动态替换主流中文站点内容 收集受害者浏览数据用于定向广告或出售 2. 传播与感染机制 2.1 传播途径 通过 RIG Exploit 套件进行传播 2.2 感染流程 Dropper 释放驱动文件到 \Windows\Temp 目录(houzi.sys 或 CEID.sys) 使用浙江恒歌网络科技有限公司签名的证书(已撤销) 注册并启动驱动 发送受感染主机的 MAC 地址和用户 ID 到 C2 服务器 3. 技术分析 3.1 Dropper 组件 功能:提取并释放驱动文件 通信行为: 目标域名:www.tj999.top HTTP 请求头示例: GET /tongji.php?userid=%s&mac=%s HTTP/1.1 3.2 驱动组件 32 位内核模式驱动 启动方式:随系统驱动一同启动 主要功能: 连接两个硬编码的 C2 域名下载主页配置文件 解密的主页:588.gychina.org 劫持的主页 URL:111.l2345.cn(伪装成 2345.com) 3.3 版本差异 老版本 (CEID.sys) 驱动文件名:CEID.sys 功能相对简单 新版本 (houzi.sys) 使用 VMProtect 打包,增加分析难度 新增重定向功能: 打开 \Driver\AFD 使用 AfdFastIoDeviceControl 方法 检查 HTTP 消息中的特定字符串 修改接收到的消息内容而不改变浏览器显示的 URL 增强的反检测能力: 修改 360 安全产品的注册表项: \Registry\Machine\Software\Wow6432Node\360Safe\safemon\ATHPJUMP 值为 0 4. 关键技术点 4.1 浏览器劫持技术 主页修改:将浏览器主页改为 111.l2345.cn 内容替换:动态替换主流中文网站内容 隐蔽重定向:不改变浏览器地址栏显示的 URL 4.2 反检测技术 使用 VMProtect 保护内核驱动 修改安全软件相关注册表 拦截特定反病毒文件访问 4.3 数据收集 收集 MAC 地址和用户 ID 监控网站访问行为和时间 用于定向广告或数据出售 5. 检测与防御 5.1 检测指标 (IOCs) 域名: www.tj999.top 588.gychina.org 111.l2345.cn 文件哈希: 打包的 dropper:C7A5241567B504F2DF18D085A4DDE559 houzi.sys:F7CAF6B189466895D0508EEB8FC25948 解压的 dropper:1A179E3A93BF3B59738CBE7BB25F72AB 5.2 防御措施 驱动验证 : 检查系统加载的驱动,特别是 \Windows\Temp 目录下的可疑驱动 验证驱动签名,注意已被撤销的证书 网络监控 : 监控对 tj999.top、gychina.org、l2345.cn 等域名的访问 分析 HTTP 请求头中是否包含用户 ID 和 MAC 地址信息 注册表监控 : 监控 \Registry\Machine\Software\Wow6432Node\360Safe\safemon\ATHPJUMP 等关键注册表项的修改 行为分析 : 检测使用 AfdFastIoDeviceControl 方法的可疑行为 监控对 \Driver\AFD 的访问 安全产品配置 : 确保安全软件能够检测 VMProtect 保护的文件 更新反病毒特征库以识别该恶意软件 6. 分析与取证 6.1 静态分析 使用反编译工具分析 dropper 和驱动文件 注意 VMProtect 保护,可能需要动态分析 6.2 动态分析 监控系统驱动加载行为 分析网络通信模式 检查注册表修改记录 6.3 内存取证 检查内核模块列表 分析 AFD 相关调用 7. 总结 CEIDPageLock 虽然主要功能是浏览器劫持,但其内核级驻留能力和代码执行能力使其成为潜在的后门威胁。攻击者投入大量精力开发此类"简单"恶意软件,主要是因为其盈利能力可观。 防御此类威胁需要: 多层次的安全防护 对内核驱动加载的严格监控 对浏览器异常行为的检测 及时更新安全产品的检测规则