一场恶意软件运动似乎至少从2017年12月就开始了,通过注册越来越多的合法但受到攻击的网站,恶意软件运动得到了支持。它的做法依赖于社交工程用户,用虚假但令人信服的更新通知。

使用群体使用类似的技术在雅虎等高交通网站上恶意散布广告欺诈恶意软件。这些模式也有点让人想起Eitest的Hoflertext广告系列被黑客入侵的网站被乱码,并提供字体供下载。最近,出现了一个影响Magento网站的活动这也会推送虚假的更新(针对Flash播放器),从而提供通过滥用github举办atzorult偷窃者

今天,我们来看看我们所谓的“虚假更新运动”,并描述其复杂的过滤和逃避技术。我们能找到的最早的例子之一是由Broadanalysis报道2017年12月20日。更新文件不是可执行文件,而是从DropBox下载的脚本,DropBox是合法的文件托管服务,如下图所示。

图1:从被黑客攻击的站点重定向到“伪造更新”方案的典型示例

这个活动以某种类似的方式影响多个内容管理系统(CMS)。我们检查的几个网站已经过时,因此很容易受到恶意代码注入的攻击。有可能攻击者使用了同样的技术来建立他们的被入侵网站的目录,但我们没有足够的信息来证实这一理论。

WordPress和Joomla.

被黑客攻击的WordPress和Joomla网站在CMS的JavaScript文件中都有同样的注入。

图2:一个被破坏的WordPress网站推出了一个伪造的Google Chrome更新

图3:一个泄露的Joomla站点发布了一个虚假的Mozilla Firefox更新

一些通常注入的文件包括jquery.js.caption.js通常附加代码的库,并且可以通过与同一文件的清洁副本进行比较来发现。

图4:差异的不同库的干净和可疑副本

额外的代码是负责下一组的事件,将欺诈层加载到您正在访问的网站上。下图显示了在CMS平台中注入的代码的美化版本,其目标是调用重定向URL:

图5:负责重定向的注入代码

我们写了一个简单的爬虫来浏览一个网站列表,然后解析结果。即使在列表中迭代小迭代,我们也能够识别几百个受损WordPress和Joomla网站。虽然我们没有受影响的确切数量,但我们猜测它在数千人。

图6:受损站点的部分列表

广场空间

Squarespace是另一个受欢迎的内容管理系统,也受到同一活动的影响。这是指出经过@环0x0我们发现了论坛帖子2月28日,一个方块用户要求帮助,说“它基本上把我重定向到一个完整的页面“你的版本的chrome需要更新。“。

图7:Squarespace用户报告他们的网站被篡改

因此,我登录到管理面板,在GIT历史记录中显示,我的一个用户甚至从未登录过,上周发送了一个上传:site-bundle.js,以及一些其他大型文件列表{sic}。

我们深入地挖掘这些妥协,并确定了比WordPress或Joomla站点上使用的重定向机制略有不同。使用Squarespace,模糊的JavaScript将直接注入网站的主页。

图8:显示Squarespace站点上发生恶意重定向的流量

它从中提取源文件查询[。]网络这反过来又恢复了bundle.jsboobahbaby。com

图9:被黑的Squarespace网站中注入的代码

bundle.js包含我们前面描述的用于调用重定向URL的相同脚本:

图10:这里使用了在WP和Joomla感染中使用的相同的重定向代码

根据这个publicwww查询在美国,有900多个SquareSpace网站被注入了这种恶意重定向代码。

图11:使用字符串模式识别其他被黑客入侵的Squarespace站点

重定向URL和过滤

所有CMSES都触发了具有类似模式的重定向URI,最终加载欺诈性更新主题。基于我们的测试,URI具有适用于特定CMS的标识符;例如cid = 221是与WordPress站点相关联的,而cid = 208Joomla。

WordPress.track.positiverefreshment [。] org / s_code.js?cid =221&五=8fdbe4223f0230a93678track.positiverefreshment.org/s_code.js?cid=.225&五=0 bbea7365fbb07c7acb3track.amishbrand[.]com/s_code.js?cid=205&五=c40bfeff70a8e1abc00f.track.amishbrand.com/s_code.js?cid=.228&五=E8BFA92965D1D880BAC2.track.amishbrand[.]com/s_code.js?cid=234.&五=59f4ba6c3cd7f37abedctrack.amishbrand[.]com/s_code.js?cid=237.&五=7 e3403034b8bf0ac23c6Joomla.connect.clevelandskin[.]com/s_code.js?cid=208&五=e1acdea1ea51b0035267track.positiverefreshment [。] org / s_code.js?cid =220&五=24ECA7C911F5E102E2BAtrack.amishbrand[.]com/s_code.js?cid=226&五=4d25aa10a99a45509fa2广场空间track.amishbrand[.]com/s_code.js?cid=232.&五=47ACC84C33BF85C5496D开放式日志系统track.positiverefreshment [。] org / s_code.js?cid =223&五=7124年cc38a60ff6cb920d未知的CMStrack.positiverefreshment [。] org / s_code.js?cid =211&五=7c6b1d9ec5023db2b7d9track.positiverefreshment [。] org / s_code.js?cid =227&五=a414ad4ad38395fc3c3b

此基础结构上还有其他有趣的构件,例如ad旋转器:

track.positiverefreshment.net:81/adrotator/banner.js?cid=100

但是如果我们关注重定向代码本身,我们会注意到潜在的受害者会被指纹识别,并且最终重定向到FakeUpdates模板是有条件的,特别是每个IP地址只命中一次。最后一个JavaScript负责创建指向下一个序列的iframe URL。

图12:这里执行了指纹、cookie验证和iframe重定向

FakePdates主题

Chrome浏览器、Firefox浏览器和Internet Explorer浏览器都有模板,后者得到的是假的Flash播放器更新。

此幻灯片需要JavaScript。

图13:攻击者是针对专业寻找模板的浏览器

诱饵页面通过子域托管在使用寿命很短的uri的受损主机上。其中一些域名有一个活的(和合法的网站),而其他的只是简单地停放:

合法(阴影)域名:

https://pask.spgolfshoes[.]com/95b40f61578eed04ff464c5055990abupdate{trimmed}

图14:此属性的凭据最有可能被盗并用于注册恶意子域

停放的域名:

http://zlsk.redneckonzize [。] com / wordpress / startty.php?f = 445327&g = {trimmed}

图15:停放的域可能隐藏着不可告人的动机

最终感染链和有效载荷

感染从伪装为从Dropbox文件托管服务中检索的JavaScript文件的假更新开始。通过定期更新的Dropbox的链接在属于虚假主题的第一个Web会话的内部被禁止。

图16:fileURL变量包含Dropbox URL

这种JavaScript严重困扰,使静态分析非常困难,也可以隐藏一些旨在逃避虚拟机和沙箱的重要指纹识别。

图17:从DropBox下载的恶意JavaScript

根据这个很好很详细JS文件分析,这是因为受害者分析的步骤2使用WScript.Network和WMI收集系统信息(BIOS、制造商、体系结构、MAC地址、进程等),并最终决定继续使用有效负载或结束脚本而不交付。

一个失败的感染只会包含对C2服务器的2个回调:

图18:检测到一台不是正版机器的主机,感染中止

虽然成功的感染将包含3个回调到C2服务器(包括有效载荷):

图19:当所有检查通过时,为用户提供有效负载

编码的有效负载流由wscript.exe.以及恶意二进制文件(Chrome_71.1.43.exe.在本例中),放在%temp%文件夹中。该文件经过了数字签名,并使用了各种逃避技术(如立即重启)来击败沙箱。

图20:数字签名文件并不能保证安全

经过检查,我们确定这是Chtonic银行恶意软件,ZeusVM的变种。一旦系统重新启动,Chtonic从94.100.18[.]6/3.bin中检索一个庞大的配置文件。

在第二次重播尝试中,我们得到了NetSupport远程访问工具,一个商业RAT。它的安装和配置已经在本文中详细介绍过了博客.再一次,我们注意到这个程序在整个交付过程中大量使用了模糊处理,这可能被用于恶意目的(文件传输、远程桌面等)。

图21:来自大鼠感染的流量,显示其后端服务器

结论

这项活动依赖于利用社会工程和滥用合法文件托管服务的交付机制。“诱饵”文件由脚本而不是恶意可执行文件组成,使攻击者能够灵活地开发有趣的混淆和指纹技术。

受攻击的网站被滥用,不仅重定向用户,还主办虚假更新计划,使其所有者在不知情的情况下参与了恶意软件活动。这就是为什么保持内容管理系统的更新是如此重要,以及在进行身份验证时使用良好的安全卫生。

必威平台APP阻止此攻击中使用的域和服务器以及最终负载。

折衷指标

重定向基础结构:

23.152.0[.]118 84.200.84[.]236 185.243.112[.]38 185.77.129.11 Events Bysteph[.]com查询[.]network connect.clevelandskin[.]net connect.clevelandskin[.]org track.amishbrand[.]com track.positiverefreshment[.]org link.easycounter 210[.]com点击分析208[.]com

C2.

my.gobiox[.]com登录3.kimbrelelectric[.]com(谢谢@nao_秒

把二进制文件:

合康

6 f3b0068793b277f1d948e11fe1a1d1c1aa78600712ec91cd0c0e83ed2f4cf1f 94.100.18 6/3.bin。

NetSupport Rat.

4D24B359176389301C14A92607B5C2AB890C41E7E3A2ABBC87510D1376F4A87