恶意软件基础设施剖析：AppSuite、OneStart与ManualFinder的隐秘关联

Onestart Vs AppSuite

在我们上一篇关于AppSuite恶意行为的博客中，我们曾提到其与OneStart浏览器的潜在关联。根据Expel的文档记录，OneStart也被确定为涉及"ManualFinder"感染的共同因素。我们着手寻找能够帮助证实这些关联的事实。

我们选取了最新可用版本[1]的OneStart并检查其安装过程。安装程序允许自身安装到%appdata%\OneStart.ai目录。查看已安装文件发现，该浏览器基于Chromium浏览器衍生而来。虽然Appsuite使用Electron编写，但当前版本的OneStart没有任何Electron组件。乍看之下，两者之间的明显联系难以捉摸。

OneStart.dll

文件[2] %appdata%\OneStart.ai\OneStart\<version_number>\onestart.dll提供了一些有价值的线索。OneStart定制了Chromium更新功能，会检查https[://]onestartapi[.]com/api/bb/updates.txt以获取软件更新。该URL返回的文本响应显然是"Advanced Installer"的更新配置文件。Advanced Installer是一种类似于NSIS和Inno Setup的软件安装系统。文本响应顶部的;aiu;表明这是一个此类配置文件（见图1）。

图1：更新配置

该二进制文件会检查OneStart附带的某些浏览器扩展的更新。ID为’memhbiihnoblfombkckdfmemihcnlihc’的扩展会从https[://]onestartapi[.]com/chr/ob/ext/update检查更新。该扩展默认安装，当前版本会跟踪访问"booking.com"的行为以"呈现"优惠。然而，旧版本的扩展包含可静默安装名为"Capital one shopping"的附加扩展的代码。旧扩展还会跟踪"youtube.com"访问。还会检查另外两个扩展，但默认不安装。这些扩展目前不包含任何功能。

图2：扩展检查

迄今为止的检查旨在寻找AppSuite、ManualFinder和OneStart之间的共同联系。在Expel描述的ManualFinder案例中，使用node.exe运行来自%temp%目录的JavaScript文件。如前所述，在AppSuite案例中使用了electron。我们检查的OneStart样本既未使用electron也未使用NodeJS。

建立直接连接

由于直接联系一直难以捉摸，我们开始寻找可能涉及安装node.exe的旧版OneStart安装程序[3]。我们的搜索得到了该软件的旧版本（OneStartInstaller-v4.5.224.8.msi）。我们观察到，在这种情况下，安装OneStart后运行了一些PowerShell脚本。检查其中一个PowerShell脚本[4]时，可以注意到一些奇怪的字符串：随机域名和有效的产品ID字符串。

图3：安装后PowerShell脚本

OneStart和ManualFinder通过域名关联

随机域名的长度与Expel文章中描述的长度相同（7df4va[.]com和mka3e8[.]com）。当我们开始调查OneStart时，域名mka3e8[.]com已无法解析，其他安全厂商发现的与ManualFinder感染相关的几个已知CnC服务器也是如此。在ManualFinder感染案例中，执行的恶意JavaScript硬编码了域名。

图4：使用node.exe从%temp%运行的恶意JavaScript

为了检查OneStart和ManualFinder案例之间的关系，我们好奇地将ManualFinder感染中恶意JavaScript的域名替换为OneStart样本中的域名。如果没有任何联系，任何请求的网络路径自然会失败。执行时，脚本尝试联系https[://]7df4va[.]com/r1?ei=1fLlck&dt=a559552e&uri=www.7df4va.com%2f。此请求没有失败，服务器响应如图5所示。

图5：服务器响应

这意味着OneStart通信的服务器正确响应了ManualFinder感染中涉及的恶意JavaScript。因此，两种情况下的攻击者应该是相同的。

AppSuite又如何？

AppSuite和OneStart是由同一批人创建的吗？我们获取了AppSuite联系的URL，并将域名替换为OneStart中的域名。例如，获取URL sdk.appsuites(dot)ai/api/s3/new?fid=ip&version=1.0.28，并将域名替换为OneStart中的域名。这起作用了，服务器回复了预期响应。这一事实证明，OneStart、ManualFinder和AppSuite三个案例背后的攻击者是相同的，并且共享服务器基础设施用于分发和配置所有这些程序。事实证明，存在一堆相同长度的随机域名，这些域名是CloudFront托管资源的别名。在某些样本中，域名的格式为<random_string>[.]cloudfront[.]com，这是CloudFront托管域名的标准格式。

图6：AppSuite和OneStart之间共享的服务器基础设施

但谁安装node.exe？

虽然共同攻击者参与的事实现已清楚，但我们使用的旧版OneStart安装程序既未安装node.exe，也未直接运行任何恶意JavaScript。图3中PowerShell脚本片段的另一个线索是所谓的有效产品标识符。简单的谷歌搜索发现了一年前的一篇SANS研究所文章。文章提到了一些安装程序名称模式，如PrintRecipes_45518959.msi、LaunchBrowserInstaller-v5.2.158.0.msi、FreeManuals_45087997.msi。我们获取线索并寻找更多名称类似这些的旧安装程序。事实证明，存在一堆此类安装程序，它们安装并使用node.exe运行JavaScript。

虽然更多旧样本将node.exe和JavaScript与WebView等浏览器组件结合使用，但后来演变为使用功能齐全的浏览器作为UI。我们见过的一些样本早于1.5年。在一种情况下，安装的浏览器称为"SecureBrowser"（或）“LaunchBrowser”，连接到一家名为"Blaze Media"的公司。SecureBrowser（securebrowser[.]io）的网站顶部有"Launch"标志，使用条款页面直接镜像onestart[.]io页面中的内容。此浏览器与OneStart完全相同，只是营销的前一迭代。

图7：SecureBrowser和OneStart浏览器安装屏幕

谜题缺失的部分现已就位。恶意软件攻击者确实使用了node.exe，“免费手册"是使用的诱饵短语之一，并且涉及浏览器安装。然而，我们无法精确定位导致从%temp%目录执行JavaScript的确切安装程序。

图8：托管在同一服务器基础设施上的更新配置

DesktopBar和BrowserAssistant

当我们检查上述旧样本[5]时，发现其中一些经常安装名为DesktopBar（或DBar）的软件和另一个名为BrowserAssistant的软件。两者的分析超出了本文范围。然而，网络通信指出在这些案例中也使用了相同的服务器基础设施。

在browser assistant案例中，我们注意到存在早至2018年[6]的样本使用相同的恶意软件基础设施。旧样本显然由一家名为"Realistic Media Inc.“的公司作为"Direct Game UNI Installer"分发。

最终思考

我们收集的事实让我们相信，这些攻击者可能存在的时间比我们能够观察到的要长得多。他们一直兜售伪装成游戏[6]、打印食谱[8]、食谱查找器[8]、手册查找器[7]的恶意软件，最近又添加流行词"AI"来引诱用户。我们见过的基础设施可能还托管其他恶意软件。也许未来某个时点会发现更多。此案例突显了此类攻击者如何通过轻松改变其软件形态以采取新形式而轻易存活。

危害指标（IoC）与研究信息

[1] 44ad9111f14c83be400bba303df5dc54ab699bb4f6e8144d052ac19812cd4fac (OneStart Installer) [MSIL.Malware.OneStart.C]
[2] 77e4dab34cb6c2169c47463b4ed81efe61185446c304b392dd9b0cbe2b31c67c (onestart.dll) – [Win64.Malware.OneStart.B]
[3] 1ff8268fa64c8f55eb750c4433c1e9e47dc7359b7fcc653215423ed3fe5d8b4d (OneStartInstaller-v4.5.224.8.msi) - [Win64.Malware.OneStart.A]
[4] 7ad613dee75da11ef9b7a92823bda3e290491e245956f5a192a3207a5f11d9a0 (powershell脚本从%temp%运行) - [PowerShell.Malware.OneStart.H]
[5] be50abcaa65744e1d62ed858911a8ed665a4743a1f1e6db515cbd661052bd3f9 (安装securebrowser、desktop bar和browser assistant的旧安装程序) - [Win32.Adware.BrowserAssistant.A]
[6] 6b6fc62a294d5ef1c619d623f1cf6d735d9f191df9ef5c745b0881b1e01b8565 (GameOffer.exe) - [Win32.Adware.BrowserAssistant.C]
[7] a704398d2446d297938d773f22e3a703b8e8b9a411edcf0f821dff6e975f2724 (分发为PDFViewer、FreeManuals) - [Win32.Malware.OneStart.J]
[8] 90b2e64ce4c6b2a0048158755281466b60b83ac1a8b43bb28614ec67c9fe52eb (分发为PrintRecipe、FreeRecipe) - [Win32.Adware.BrowserAssistant.D]

域名

7df4va[.]com
mka3e8[.]com
onestartapi[.]com

签名者

OneStart Technologies LLC
Interlink Media Inc.
Astral Media Inc
Blaze Media Inc.
Realistic Media Inc.
Digital Promotions Sdn. Bhd.