您现在的位置:主页 > 365bet网站网投 >

JavaScript后门的深度分析,大小小于2 KB

2019.04.02

浏览:

我发现攻击者在盗版服务器上留下了一个脚本。
这个脚本是用JavaScript编写的,它的主要功能是将它用作Windows后门和CC后端。
在这里我要向大家道歉,为了保护客户的隐私,我不会在本文中讨论或解释一些细节。
脚本的大小非常小,小于2 KB。唯一可以表明它存在的是一个名为“wscript”的文件。
Exe执行该过程。这是一个合法的Windows程序。
脚本的主要部分包含无限循环的命令字符串。将查询字符串“reflow”传递给CC后,它将休眠4个小时。
CC回调如下。
有关详细信息,我开始在VirusTotal中查找各种搜索引擎和相关代码片段,但是我发现没有任何结果我很失望。
因此,我决定使用RecordedFuture帮助找到它。
RecordedFuture可以通过扫描和分析来自数千个网站,博客和Twitter帐户的信息,找到人员,组织,事件以及当前和未来事件之间的相关性。
将2017年12月淘汰的3场比赛与返回的结果相匹配。
缓存数据和链接源帮助我使用CC包恢复压缩文件。
在包中,有四个主要脚本(三个PHP文件和一个JavaScript文件)被复制到Web服务器。
Web服务器可能会受到攻击者和其他方式的攻击。
主脚本索引。
Php包含SVG动画。访问者访问此页面时,将显示以下屏幕。
此脚本显示当页面被“重排”时,恶意JavaScript文件(其名称已更改为PNG)的内容将发送到受害者的PC并通过后门脚本进行评估你。
恶意脚本使用WMI获取系统信息并将其作为身份验证方法的一部分发回。
在这里,我们可以看到恶意脚本在无限循环中运行,正在等待上传,下载,执行等命令。
“mAuth”函数生成短随机字符串,将它们与系统信息连接起来,并将它们传递给Base64编码的cookie中的CC。
这些随机字符串很重要,因为它们用作标签来标识它们之间包含的指令。
数据通过AJAX返回CC。
有一个名为“FillHeader”的函数来填充HTTP标头。
这是受害者机器检查时HTTP请求的样子:
对第二行cookie值执行Base64解码。
在第二个符号表示系统信息之后,重复链中的Base64解码。
其中一个PHP脚本是一个已在HTML代码中修改的模板,以使页面看起来合法(例如,它包含实际网页的一部分)。
该脚本已重命名并编入索引。
PHP脚本参考
此脚本具有上载和下载文件以及创建活动记录的所有功能。
日志文件包括受害者的IP地址,上载和下载的文件,会话信息等。
“身份验证”功能读取受害者的cookie值,分析系统信息以及用于创建日志文件名的变量。
用户名和受害者的计算机名称是MD5哈希值,用作日志文件名的一部分。
当受害者PC连接到CC时,在CC服务器上创建三个文件。
包中的最后一个PHP脚本用于与受害PC进行交互并将命令发送到受害PC。
考虑时区和有趣的登录方法。
可用的命令非常有限,但攻击者只需在受害者的PC上加载更强大的工具即可访问网络。
最后,如果攻击者注意到他即将被发现,他可以使用此脚本中包含的另一组命令来删除所有重要的日志文件。
*参考资料来源:kahusecurity,由FB小编主编编辑,用FreeBuf显示。
COM

☆喜欢这篇文章吗?分享给你的好友吧!点击这里复制网址☆