色情网站的光棍节“福利”:加密式挂马玩转流氓推广

双十一前夜,还想着通过同城交友或是某些不可描述的网站一解单身的烦恼?别急,不妨先来看看这些网站给光棍发的“福利”!

最近,360安全中心监测到一起网站弹窗广告挂马事件,弹出的网络广告出现挂马,广告内容以同城交友等伪装色情诱惑信息为主,通过对整个挂马攻击的过程分析发现该挂马脚本以及攻击负载(Payload) 在通过中招者网络时进行加密,并在最后阶段通过进行解密执行。攻击负载甚至还利用regsrv32 实用程序执行一个.sct文件来绕过AppLocker 的脚本规则。

下面就对该挂马木马进行简单分析:

通过监控追踪发现主要来源于外挂以及色情网站的自动弹窗广告,用户使用此类外挂自动弹出同城交友广告或浏览某些色情网站就可能触发带漏洞攻击的页面,如果此时受害者的机器没有打相应补丁的话,就会触发相应漏洞,开始下载木马并执行:

图1

图2

该页面客户嵌入的js脚本过程如下:

图3

挂马代码加密过程简图:

图4

第一个页面http://174.*.96.42/index.php?id=011

主要功能:

每次服务器都会生成一个随机的validate值放入表单中,这个值每次刷新得到的结果都不一样,通过这个值作为浏览器的会话标记。

此外,攻击者使用IE官方的HTML条件注释来进行浏览器版本判断,这种判断对于常见的前端设计是有效的,但是对于浏览器漏洞利用却是错误的,因为不同浏览器都会开启不同程度的兼容模式,导致错误的兼容性设置结果,所以不如直接判断浏览器版本好。

根据浏览器的上述的结果,构造最终需要提交的表单数据,并进行GET提交

图5

图6

第二个页面:

GET提交的地址http://174.*.*.42/p/servlet?token=&id=49457&validate=XXXXXXXXXX

参数中有servlet,故猜测有可能后台是java。

这个请求会被302重定向到另外一个页面:

http://174.*.*.43/rt/ab06add394fb469b6510973131acb870.html?id=49457

这个页面会根据ID返回Rabbit或者RC4的加密后的Load代码,页面载入了额外的两个js库文件(encrypt.min.js、tinyjs.min.js),提供相关的对称和非对称加密算法。

图7

解密得到的结果:

代码中会预制一个RSA公钥,然后使用随机数生成函数来生成一段字符串作为后续的对称加密密钥,并将该数据POST到服务器,此外还会动态生成一个字符串,两者拼接后作为后续通讯加密的密钥。POST请求会从服务端返回这个密钥加密的漏洞利用代码。此时会根据接收到的数据选项,选择使用RC4还是Rabbit算法进行解密并执行。

图 8

漏洞利用:最终解密执行的漏洞利用代码可以很明显看出是CVE-2016-0189。

图9

漏洞利用成功后,会利用regsvr32调用sct文件执行对应脚本。

(Regsvr32是Windows命令行实用工具用于注册动态链接库文件,向系统注册控件或者卸载控件的命令,以命令行方式运行。国外网友 Casey Smith@subTee发现通过调用 regsrv32实用程序执行一条命令或者.sct文件有可能绕过 AppLocker的脚本规则。由于该实用程序是具有微软官方签名的所以好处自不用多说了,并且支持TLS加密,遵循重定向方式,且不会在磁盘上留下痕迹。鉴于这么多优点,挂马者自然不会错过)

regsrv32命令行参数选项:

/s 静默执行

/n 指定不调用DllRegisterServer,此选项必须与/i共同使用

/i 调用DllInstall将它传递到可选的[cmdline],在与 /u 共同使用时,它调用DllUnstall

图10

Sct文件:

文件中包含了经过base64编码后的恶意dll文件,利用ActiveXObject写入到本地文件,

在使用脚本操作二进制文件时,常常会因为不可见字符报错,所以挂马者通常会选择先对二进制文件作base64编码再操作,最后通过解码还原出二进制文件;

图11

以下是测试将sct文件中的Base64部分转换成dll文件的js脚本:

图12

然后会通过regsvr32加特定的参数执行:参数中包含lua脚本的下载链接。

图13

在config.lua文件中其判断了是否为网吧环境,若是网吧环境则只安装小黑记事本(xiaohei.lua)和abc看图(abc.lua);否则安装如下图所示多款软件。

图14

图15

以duba.lua为例其中的lua脚本内容如下,主要判断未安装推广软件的环境下进行下载安装:

图16

最终普通中招用户机器上被推广安装上10款推广软件:

图17

根据监测及同源分析,该木马在早期的版本中还加入了“隐魂”木马,不过在近期传播的样本中并没有发现“隐魂”木马。

[360安全中心在8月份截获的感染MBR(磁盘主引导记录)的“隐魂”木马]

史上反侦察力最强木马“隐魂”:撑起色情播放器百万推广陷阱 http://www.freebuf.com/articles/web/143912.html

“隐魂”木马篡改主页分析:史上反侦察力最强木马的犯罪素描 http://www.freebuf.com/articles/system/144792.html

结语:

攻击者对相关加密算法比较了解,选用了较为少见的Rabbit对称加密算法;攻击者具备一定的前端开发经验,代码容错性强,兼容性高了;后台不再是静态文件,而采用了动态生成内容,生成的网址也是一次性的;所有的js代码均经过了混淆变量的操作。

攻击者逐步开始学习国外流行Exploitkit的做法,动态生成攻击页面,并对漏洞利用代码加密,防止网关过滤和流量包重放分析,加大了分析难度,也有助于保密攻击代码。

对于普通用户建议应该尽量避免使用外挂辅助、避免点击伪装色情网站的恶意广告、开启安全软件进行防护。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏信安之路

挑战赛第四关应急响应题目通关秘籍

既然前文提到了溯源攻击者,又给了流量包pcapng包,自然是从流量下手;Wireshark 走起。

1024
来自专栏FreeBuf

色情网站的光棍节“福利”:加密式挂马玩转流氓推广

双十一前夜,还想着通过同城交友或是某些不可描述的网站一解单身的烦恼?别急,不妨先来看看这些网站给光棍发的“福利”! 最近,360安全中心监测到一起网站弹窗广告挂...

2028
来自专栏魏艾斯博客www.vpsss.net

WordPress 百度熊掌号自动推送插件安装使用教程

百度熊掌号是百度推出的新平台,把你网站的原创内容在最短时间内展现到百度搜索结果中,有助于提高百度搜索排名和权重,也就提高了网站流量。按照百度要求,接入百度熊掌号...

1632
来自专栏mini188

技术笔记:Indy IdSMTP支持腾讯QQ邮箱邮件发送

1、腾讯QQ邮箱的授权码问题 因为腾讯邮箱折腾了个底朝天,其要搞什么授权码登录第三方客户端,否则会报这个错误: 'Error: 请使用授权码登录。详情请看: ...

1928
来自专栏FreeBuf

Chrome浏览器上显示绿色标识,你就安全了吗?

据相关数据显示,在网络上有超过50%的用户使用的浏览器为Chrome浏览器。而长期使用Chrome浏览器的用户其实都不难发现,每当你访问使用SSL(也称为HTT...

2187
来自专栏云瓣

关于 Node.js 的认证方面的教程(很可能)是有误的

原文地址:Your Node.js authentication tutorial is (probably) wrong 我搜索了大量关于 Node.js/E...

2999
来自专栏Netkiller

植入式攻击入侵检测解决方案

植入式攻击入侵检测解决方案 ---- 目录 1. 什么是植入式攻击? 2. 为什么骇客会在你的系统里面植入木马? 3. 什么时候被挂马? 4. 在那里挂马的? ...

2737
来自专栏魏艾斯博客www.vpsss.net

lnmp1.4 用户及时更新 Let’sEncrypt SSL 证书续期规则

3163
来自专栏安智客

Android 新特性之文件加密对TEE的要求

昨天聊到Android新版本对于指纹开发的要求,很多朋友问我,Android新版本对于TEE有哪些具体要求,我们知道android后续版本只会更加强化安全的...

3465
来自专栏FreeBuf

钓鱼邮件攻击中的猥琐技巧与策略

引言 钓鱼邮件攻击是社会工程学攻击中的一种常见的手段,其目的是欺骗受害人来进行一些操作,最终控制受害人。一般来说,钓鱼邮件从后续的攻击手段来说,可以分为两类: ...

1936

扫码关注云+社区