PBot广告软件深度分析与防御指南<\/h1>

一、PBot广告软件概述<\/h2>
PBot（又称PythonBot）是一款基于Python的恶意广告软件，最初伪装成"MinerBlocker"反挖矿工具进行传播。该软件具备中间人浏览器攻击(MITB)能力，能够注入各种脚本到合法网站中，功能远超普通广告软件。<\/p>

二、样本信息<\/h2>

主要样本哈希值<\/h3>

下载器<\/strong>：5ffefc13a49c138ac1d454176d5a19fd（通过漏洞利用工具包投递）<\/li>
恶意安装程序<\/strong>：b508908cc44a54a841ede7214d34aff3（伪装为MinerBlocker）<\/li>
主DLL<\/strong>：e5ba5f821da68331b875671b4b946b56（注入Python.exe）<\/li>

浏览器注入DLL<\/strong>：

64位：596dc36cd6eabd8861a6362b6b55011a<\/li>
32位：645176c6d02bdb8a18d2a6a445dd1ac3<\/li> <\/ul> <\/li> <\/ul>
三、传播方式<\/h2>
通过RIG漏洞利用工具包<\/strong>进行传播，采用多阶段投放策略：<\/p>

初始下载器（简单未混淆）<\/li>
下载包含所有恶意Python脚本的第二个安装程序<\/li>
静默安装完整Python环境<\/li> <\/ol>
四、安装与持久性机制<\/h2>
安装过程<\/h3>

独立运行时显示虚假EULA和安装向导界面<\/li>
通过下载器运行时完全静默安装<\/li>
安装路径：%APPDATA%<\/code><\/li> <\/ul> 持久性技术<\/h3> 注册表Run键实现自启动<\/li> 生成并执行ml.py<\/code>脚本<\/li> 部署httpfilter.py<\/code>组件<\/li> <\/ul> 五、组件分析<\/h2> 1. 目录结构<\/h3> ├── js\/ │ └── i.js # 注入脚本 ├── configs\/ │ ├── rules.ini # 注入规则配置 │ └── settings.ini # 全局设置 └── uninstall.exe # 卸载程序 <\/code><\/pre> 2. 关键配置文件<\/h3> rules.ini<\/strong>：<\/p> 指定JavaScript注入路径和位置<\/li> 定义注入规则和目标网站<\/li> <\/ul> settings.ini<\/strong>：<\/p> 服务端口和伪造证书颁发者信息<\/li> 目标浏览器进程列表（攻击目标）<\/li> Base64编码的白名单（主要为俄罗斯银行网站）<\/li> <\/ul> 六、恶意功能分析<\/h2> 1. 脚本注入<\/h3> 向所有访问网站注入i.js<\/code>脚本<\/li> 从远程服务器加载第二阶段恶意代码<\/li> 伪造Google相关域名增加可信度<\/li> <\/ul> 2. MITB攻击<\/h3> 替换HTTPS网站的合法证书<\/li> 伪造证书颁发机构："The Filter"<\/li> 完全控制浏览器通信内容<\/li> <\/ul> 3. 代理功能<\/h3> 浏览器与Python进程间建立通信<\/li> 监控和修改所有网络流量<\/li> 可注入广告、钓鱼内容等任意恶意代码<\/li> <\/ul> 七、技术实现细节<\/h2> 1. Python加载器<\/h3> 初始执行ml.py<\/code>（混淆处理）<\/li> 解密并加载httpfilter.bin<\/code>中的DLL<\/li> 将DLL注入到Python可执行文件中<\/li> <\/ul> 2. 主DLL功能<\/h3> 解析配置文件和规则<\/li> 设置恶意代理系统<\/li> 包含两个硬编码DLL（32位和64位） injectee-x86.dll<\/code><\/li> injectee-x64.dll<\/code><\/li> <\/ul> <\/li> <\/ul> 3. 浏览器注入技术<\/h3> 通过InjectorEntry<\/code>函数开始执行<\/li> Hook关键浏览器函数： Crypt32.dll<\/strong>（证书相关）： CertGetCertificateChain<\/code><\/li> CertVerifyCertificateChainPolicy<\/code><\/li> CertFreeCertificateChain<\/code><\/li> <\/ul> <\/li> ws32_dll<\/strong>（网络通信）： closesocket<\/code><\/li> WSASend<\/code><\/li> recv<\/code><\/li> connect<\/code><\/li> send<\/code><\/li> WSARecv<\/code><\/li> WSAConnect*<\/code>系列函数<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ul> 八、防御与检测方案<\/h2> 1. 检测指标<\/h3> 文件系统： %APPDATA%<\/code>下可疑Python脚本<\/li> ml.py<\/code>和httpfilter.py<\/code>文件<\/li> <\/ul> <\/li> 注册表：可疑Run键项<\/li> <\/ul> <\/li> 网络：与未知IP的异常连接<\/li> "The Filter"颁发的证书<\/li> <\/ul> <\/li> <\/ul> 2. 防护措施<\/h3> 禁用不必要的Python脚本执行<\/li> 监控浏览器进程的异常DLL注入<\/li> 检查证书链异常情况<\/li> 使用高级威胁检测工具监控API Hook行为<\/li> <\/ul> 3. 清除步骤<\/h3> 终止相关Python进程<\/li> 删除注册表Run键项<\/li> 清除%APPDATA%<\/code>下相关文件<\/li> 重置浏览器设置和安全证书<\/li> <\/ol> 九、总结<\/h2> PBot广告软件虽然代码简单且未做复杂混淆，但其MITB功能极具威胁性。攻击者可完全控制浏览器内容显示，从广告注入到网络钓鱼均可实现。安全团队应特别关注其证书伪造和浏览器Hook技术，加强相关行为的监控和防御。<\/p>