压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

‘FakeUpdates’惡意行動利用大量網站傳播木馬

責編:gltian |2018-04-26 13:29:17

一、前言

自從2017年12月開始,出現了越來越多的合法網站上帶有惡意威脅程序。其傳播方式依賴社工用戶,為他們提供看起來很真實但實際上是虛假的更新通知。

一個利用雅虎等高流量網站上的惡意廣告來散步惡意軟件的組織也采用了類似的技術。這種模式也讓人聯想到了 EITest的 HoeflerText 活動。其中被黑網站先是被炒作提高熱度,然后提供下載惡意字體文件的鏈接。最近,有一場惡意活動影響了Magebto網站,也是推送了虛假的更新通知(Flash Player的更新),它實際上是AZORult stealer。(比特幣盜竊軟件)

今天,我們主要來看一看我們稱之為‘FakeUpdates campaign’(虛假更新惡意軟件活動)的具體細節,以及它錯綜復雜的過濾機制和逃避檢測的技巧。我們發現的最早的例子是由 BroadAnalysis在2017年12月20日報告的。所謂的更新文件并不是一個可執行文件,而是從Dropbox(一種合法的文件托管服務)上下載的腳本,如下述動畫所示:

圖1:一個被入侵網站上典型的重定向到‘虛假更新’界面的例子

此次惡意活動以類似的方式影響了大量的內容管理系統(CMS)。我們所檢查的幾個網站都沒有進行及時的更新,因此容易受到惡意代碼注入的影響。攻擊者可能是使用相同的技術來批量查找可以入侵的網站并建立相應的數據庫來存儲這些受害網站地址。但我們并沒有足夠的信息來證明這一點。

 

二、WordPress and Joomla

被攻擊的使用WordPress和Joomla的網站,在其CMS的JavaScript文件中都存在著相同類型的注入。

圖2:被入侵的WordPress站點推出的虛假Google Chrome更新

圖3:被入侵的Joomla 站點推出的虛假Mozilla Firefox更新

一些常用的庫文件包括jquery.js和caption.js都已經被附加了一些代碼。通過和原文件比對就可以發現。
t016d413d00e7cbc10e

圖4:與原文件對比后發現的額外代碼

這些額外附加的代碼負責以下一連串的事件,將其欺詐網頁加載到您訪問的網站上。下圖顯示了在CMS平臺中注入代碼的優化版本,其目標是訪問重定向后的URL:
t01625861590daaf195

圖5:起重定向功能的注入代碼

我們編寫了一個簡單的抓取規則來抓取瀏覽一系列受害網站傳輸的數據包并對結果進行解析。即使在列表中有一小段迭代重復的部分,但我們依然能識別出幾百個使用WordPress和Joomla受害的網站。盡管我們沒有受害網站確切的數量,但我們推測會有成千上萬的網站受到影響。
t0129621d175ef42013

圖6:部分遭入侵的網站列表

三、Squarespace

Squarespace是另一款十分受歡迎的CMS,但也同樣受到了這場惡意活動的影響。這是由 @Ring0x0指出的。我們在2月28日發現了一篇論壇帖子,一位squarespace的使用者尋求幫助,他說“我會經常被重定向到另一個頁面,顯示“您的Chrome版本需要更新””。
t0127848b1bf07f9faf

圖7:一個Squarespace用戶稱他們的站點已遭到篡改

所以,我登陸到管理面板,看到在Git歷史記錄中顯示了一個之前從未登陸過的用戶在上周進行了一次上傳:site-bundle.js以及一些其他的大文件列表{sic}。
我們繼續深入分析這些案例,發現了在WordPress 和Joomla網站中使用了略有不同的重定向策略。而對于Squarespace,是將一段JavaScript代碼直接注入到網站的主頁當中。

圖8:在Squarespace站點中惡意重定向發生時的流量

它從query[.]network中得到源文件然后從boobahbaby[.]com拉取 bundle.js:
t01ff96124492d44551

圖9:被入侵的Squarespace站點中的注入代碼

bundle.js中包含了我們在之前說的重定向URL腳本中相同的內容:
t010f4936193dd0e04c

圖10:在WP和Joomla入侵過程中使用的相同的重定向代碼

根據PublicWWW query查詢結果顯示有超過900個SquareSpace網站已經被注入了這個惡意重定向代碼。
t017254357568df8dfd

圖11:使用字符串模式識別出的其他被入侵的Squarespace網站

四、重定向URL及過濾

所有的CMS都會觸發具有類似模式的重定向URL,最終都是加載那個欺詐性質的更新主題網頁。根據我們的測試,這些URL具有適用于特定CMS的標識符;例如,cid=221表示與WordPress站點相關,而cid=208表示與Joomla站點相關。

  • WordPress
    track.positiverefreshment[.]org/s_code.js?cid=221&v=8fdbe4223f0230a93678
    track.positiverefreshment.org/s_code.js?cid=225&v=0bbea7365fbb07c7acb3
    track.amishbrand[.]com/s_code.js?cid=205&v=c40bfeff70a8e1abc00f
    track.amishbrand.com/s_code.js?cid=228&v=e8bfa92965d1d880bac2
    track.amishbrand[.]com/s_code.js?cid=234&v=59f4ba6c3cd7f37abedc
    track.amishbrand[.]com/s_code.js?cid=237&v=7e3403034b8bf0ac23c6
  • Joomla
    connect.clevelandskin[.]com/s_code.js?cid=208&v=e1acdea1ea51b0035267
    track.positiverefreshment[.]org/s_code.js?cid=220&v=24eca7c911f5e102e2ba
    track.amishbrand[.]com/s_code.js?cid=226&v=4d25aa10a99a45509fa2
  • SquareSpace
    track.amishbrand[.]com/s_code.js?cid=232&v=47acc84c33bf85c5496d
  • Open Journal Systems
    track.positiverefreshment[.]org/s_code.js?cid=223&v=7124cc38a60ff6cb920d
  • Unknown CMS
    track.positiverefreshment[.]org/s_code.js?cid=211&v=7c6b1d9ec5023db2b7d9
    track.positiverefreshment[.]org/s_code.js?cid=227&v=a414ad4ad38395fc3c3b

在這個基礎設施上還有其他比較有趣的組件,比如這個廣告輪播:

  • track.positiverefreshment.net:81/adrotator/banner.js?cid=100

但是如果我們專注于重定向代碼本身,我們注意到潛在的受害者在被重定向的同時也會被進行指紋識別(這里指收集用戶信息進行驗證,包括cookie等)。最終重定向到虛假更新主題頁面是有條件的,即每個人只能用一個IP。最后一個JavaScript負責為下一個序列創建iframe URL。
t0128c437c73b2d12a4

圖12:這里執行指紋識別,Cookie驗證和iframe重定向

五、虛假更新主題

攻擊者使用的有Chrome, Firefox和Internet Explorer瀏覽器的模板,后者會被替代成Flash Player更新界面。
t01baa371ec2d996e8f

圖13:攻擊者將目標鎖定在具有專業外觀模板的瀏覽器上

這個虛假的更新界面托管在被入侵網站的主機中,其地址是短生命周期的URL子域名。其中的一些域名是激活的(合法網站的那些)還有一些是處于停放狀態中的。
合法域名:

t01ed9111eb6c3bea19
圖14:該憑證很可能已被盜用并用于注冊惡意子域名

停放域名:

t015cd6c749fb44c297
圖15:停放域名可以隱藏別有用心的心機

六、最終的感染鏈及payloads

感染是從虛假更新偽裝成JS文件從Dropbox文件托管服務上下載下來開始的。指向Dropbox的鏈接(會定期更新)是在第一次web會話期間被混淆過的。

t010f4936193dd0e04c

圖16:fileURL變量包含Dropbox URL

這個JavaScript文件被嚴重混淆過,所以對其靜態分析十分困難。它也會隱藏一些重要指紋來逃逸虛擬機和沙箱。
t0127f1ce385e8d2102
圖17:從DropBox上下載下來的惡意JavaScript

根據這篇文章中對惡意JS文件細致的分析得出這是因為受害者受害過程的第2步中使用WScript。通過網絡和WMI來收集受害者系統信息(BIOS,制造商,體系結構,MAC地址,進程信息等),并最終決定是否使用payload繼續入侵或者是結束腳本運行。

下方是展示一次失敗的感染,會向C2服務器返回2個回調:
t01ca5899ca00cb4058

圖18:檢測到不是真正機器的主機,于是中止感染

如果是一次成功的感染,會向C2服務器返回3個回調(包括payload):
t01b9004c2814a2d506

圖19:驗證通過后,受害者收到payload

經過編碼的payload流經過wscript.exe解碼,會在%temp%文件夾下釋放出惡意二進制文件(Chrome_71.1.43.exe)。這個文件是經過數字簽名的,并且含有各種逃逸技術(像立即重啟)來抵御沙箱。
t014519ed8e85cb9fb7

圖20:數字簽名的文件不能保證安全

經過檢查,我們確定這是Chtonic banking惡意軟件(一種ZeusVM的變種)。一旦系統重啟,Chtonic就會從 94.100.18[.]6/3.bin拉取一個重要的配置文件。

在第二次重播嘗試中,我們得到了NetSupport遠程訪問工具(一種商業的遠程訪問木馬)。它的安裝和配置已經在這篇博客中得到了很好的介紹。我們再次注意到,在整個交付程序的過程中大量使用出于惡意目的(文件傳輸,遠程桌面等)的混淆。
t01335ffabcebc592d8

圖21:RAT感染流量,顯示了其后端服務器

七、總結

此次惡意活動依賴于交付機制,利用社工方法騙取受害者下載,濫用合法的文件托管服務讓其變得更加可信?!T餌’文件由一個腳本而不是一個惡意可執行文件組成,這使得攻擊者能夠靈活地開發使用各種混淆方法以及指紋技術。

遭到入侵的網站不僅被用來重定向用戶,還掛著虛假更新的界面,使其所有者不知情地參與到惡意軟件活動中。所以保持CMS更新,并做好身份認證是非常重要的。

八、IOC

重定向域名:

  • 23.152.0[.]118
    84.200.84[.]236
    185.243.112[.]38
    eventsbysteph[.]com
    query[.]network
    connect.clevelandskin[.]net
    connect.clevelandskin[.]org
    track.amishbrand[.]com
    track.positiverefreshment[.]org

惡意二進制文件:
Chtonic

  • 6f3b0068793b277f1d948e11fe1a1d1c1aa78600712ec91cd0c0e83ed2f4cf1f
    94.100.18[.]6/3.bin

NetSupport RAT

  • 4d24b359176389301c14a92607b5c26b8490c41e7e3a2abbc87510d1376f4a87
原文: https://www.anquanke.com/post/id/104761

上一篇:對混淆的Android應用進行滲透測試

下一篇:利用密碼重置功能實現賬號劫持