电子商务网站继续由在线罪犯直接从未意识到购物者窃取个人和付款信息。最近,通过撇渣器进行了攻击,这是一段代码,它是直接注入到黑客网站或外部引用的代码。其目的是观看用户输入,特别是在线购物车,并在清晰的文本中发送数据,例如信用卡号和密码等数据。
妥协电子商务网站可以通过多种方式实现。现在,Magento等流行的内容管理系统(CMSes)以及各种插件中的漏洞经常被利用。但由于许多网站所有者仍然使用弱密码,在尝试多次登录时,暴力破解仍然是一个可行的选择。
我们的调查是在发现许多Magento网站新感染病毒后开始的。我们以浏览器使用的域名为中心,发现了与一个新恶意软件的连接,这个恶意软件是针对Magento、phpMyAdmin和cPanel的强力攻击。虽然我们不能确定这是否是撇脂器的注入方式,但我们相信这可能是目前针对电子商务网站的众多活动之一。
妥协的网站
该恶意代码被直接注入网站主页,引用了外部JavaScript代码。这意味着该购物网站已经通过一个漏洞,或通过暴力破解管理员密码。
在线商店正在运行Magento CMS和使用OneStepCheckout图书馆处理顾客的购物车。当受害者输入他们的地址和支付细节时,他们的数据通过一个带有Base64格式信息的POST请求被转移到googletagmanager。欧盟.该域以前被标记为与犯罪活动相关的Magecart组织的威胁。
使用VirusTotal图,我们在这个电子商务网站和一块在golang编写的恶意软件之间找到了一个连接,更具体地说是从恶意软件到受妥协的网站的网络查询。扩展到它,我们看到恶意软件被德尔福写的另一个二进制文件丢弃。也许更有趣的是,这一点揭开了Malware通信的另一大域。
载荷分析
德尔福下载器
第一部分是我们检测的下载器Trojan.WallyShack.它有两层包装。第一层是UPX。用默认的UPX拆封后,我们得到第二层:一个使用中空工艺的地下封隔器。
下载程序非常简单。首先,它收集了系统的一些基本信息,然后它向C2发出信号。我们可以看到面板的域名在二进制文件中是硬编码的:
这个元素的主要目标是下载并运行有效负载文件:
Golang载荷
在这里,所删除的有效负载将自己安装到Startup文件夹中,首先将bash脚本转储到%TEMP%中,然后将其部署到Startup文件夹中。该示例没有打包,我们可以在里面找到工件,表明它是用Golang版本1.9编写的。我们检测这个文件为Trojan.StealthWorker.Go..
反转的过程将类似于我们以前所做的另一个戈兰样本.查看前缀为“main_”的函数,我们可以区分哪些函数是分析的二进制文件的一部分,而不是静态链接库的一部分。
我们发现了几个函数,名称“brut”,建议这件恶意软件致力于暴牙。
这是与上述受损电子商务站点通信的恶意软件样本。在以下部分中,我们将审核如何实施通信和任务。
机器人交流和暴力强迫
在执行时,Golang二进制文件将连接到5.45.69[.]149。检查IP地址,我们确实可以看到一个网页面板:
僵尸程序通过一系列HTTP请求来报告受感染的计算机已经准备好接受新的任务,然后再接收指令。你可以看到下面的机器人将试图暴力的Magento网站利用/下载/目录的入口点:
考虑到可能的密码组合的数量,蛮力攻击可能非常缓慢。出于这个原因,犯罪分子通常利用CMS或插件漏洞,因为它们提供了更快的投资回报。已经说过,使用僵尸网络执行登录尝试允许威胁演员将负载分发到大量工人上。鉴于许多人仍然使用弱密码进行身份验证,蛮州仍然可以是危及网站的有效方法。
攻击时间框架和其他连接
我们发现了许多不同的戈兰样品的变种,其中大多数在2月初首次在Virustotal中看到的大多数(在下面的IOC部分中提供的哈里斯)。
检查其他一些样品中的一些样品,我们注意到刚刚刚刚迫使玛不满。实际上,例如,一些机器人在WordPress网站之后。每当BOT检查与服务器后面,它将收到一组新的域和密码。这是蛮州的一个例子phpMyAdmin:
post:set_session =&pma_username = root&pma_password =管理..&server = 1&target = index.php&token =用户代理:mozilla / 5.0(x11; ubuntu; linux x86_64; rv:62.0)gecko / 20100101 Firefox / 62.0
在我们调查这场运动的时候,我们看到一个推特由Willem de Groot指出近期与之相关的斯皮克的增加googletagmanager。欧盟那与管理员联系在一起,数据库管理实用程序。我们开始研究的那个购物网站几天前才被攻破。没有服务器日志和执行取证调查的能力,我们只能假设它是在许多可能的情况下被黑的,包括管理员/MySQL漏洞或暴力破解密码。
多重弱点
这种生态系统中有许多不同的弱点,可以利用。从网站所有者没有勤奋的安全更新或他们的密码,到最终用户运行受感染的计算机变成机器人,并在不知不觉中帮助攻击网络门户网站。
和往常一样,重要的是保持web服务器软件的更新,并通过使用web应用程序防火墙来增强这种保护,以抵御新的攻击。有不同的方法来阻止暴力破解攻击,包括使用. htaccess文件到限制IP地址,允许登录。
Skimmers是在线购物者的一个真正的问题,他们越来越谨慎地将个人信息进入电子商务网站。虽然受害者可能不知道在哪里和盗窃时发生盗窃,但在他们的平台受到损害时,它不会为在线商家提供良好的。
必威平台APPMalwarebytes检测在这些攻击中使用的恶意软件并阻止撇渣器门。
还有来自@Hasherezade..
妥协指标(IOC)
除油船域
googletagmanager。欧盟
德尔福下载器
CBE74B47BD7EA953268B5DF3378D11926BF97BA72D326D3CE9E0D78F3E0DC786
德尔福C2
Snaphyteplieldup [。] XYZ Tolmets [] Info ServersoftwareBase [。] com
Golang bruteforcer
fdc3e15d2bc80b092f69f89329ff34b7b828be976e5cbe41e3c5720f7896c140
类似Golang bruteforcers
46 fd1e8d08d06cdb9d91e2fe19a1173821dffa051315626162e9d4b38223bd4a 05073 af551fd4064cced8a8b13a4491125b3cd1f08defe3d3970b8211c46e6b2 fdc3e15d2bc80b092f69f89329ff34b7b828be976e5cbe41e3c5720f7896c140 96 a5b2a8fdc28b560f92937720ad0dcc5c30c705e4ce88e3f82c2a5d3ad085aa 81 bd819f0feead6f7c76da3554c7669fbc294f5654a8870969eadc9700497b825 e7581e3c8e913fe22d56a3b4b168fd5a9f3f8d9e0d2f8934f68e31a23feabd5 d87b4979c26939f0750991d331896a3a043ecd340940feb5ac6ec5a29ec7b797 36 d62acd7aba4923ed71bfd4d2971f9d0f54e9445692b639175c23ff7588f0a7 7 db29216bcb30307641b607577ded4a6ede08626c4fa4c29379bc36965061f62 4 e18c0b316279a0a9c4d27ba785f29f4798b9bbebb43ea14ec0753574f40a54f046年91 a696d1a0ef2819b2ebb7664e79fa9a8e3d877bedcb5e99f05b1dc898625ed5 8 b1b2dee404f274e90bd87ff6983d2162abee16c4d9868a10b802bd9bcbdbec6 c5b18ec037ec5fbdd9be3e6ee433df3e4d2987ee59702b52d40e7f278154d 6 b79345a2016b2822fd7f7bed51025b848b37e026d4638af59547e67078c913e 181 ebf89a32a37752e0fc96e6020aa7af6dbb00ddb7ba02133e3804ac4d33f435 efd1a27717d3e41281c08f8c048523e43b95300fb6023d34cb757e020f2ff7f 5 dccce9b5611781c0edee4fae015119b49ce9eb99ee779e161ec0e75c1c383da
C2服务器
5.45.69 [。] 149:7000
评论