JavaScript后门的深度分析,大小小于2 KB

2019-01-30 17:58 来源:网络整理
JavaScript后门的深度分析,大小小于2 KB
2018-04-205980编辑:深圳互联网资料来源:互联网
在盗版服务器上,我发现攻击者留下了一个脚本。
这个脚本是用JavaScript编写的,它的主要功能是将它用作Windows后门和CC后端。
在此,我想向大家道歉,我不会在本文中讨论或解释一些细节,以保护客户的隐私。
脚本的大小非常小,小于2 KB。唯一可以证明它存在的是一个名为“wscript”的文件。
Exe执行该过程。这是一个合法的Windows程序。
脚本的主要部分包含命令字符串的无限循环。将查询字符串“reflow”传递给CC后,它会休眠4个小时。
CC回调如下。有关详细信息,我开始寻找各种搜索引擎和VirusTotal的相关代码段,但我很失望,没有找到任何东西。
因此,我决定使用RecordedFuture帮助找到它。
RecordedFuture可以通过扫描和分析数千个网站,博客,Twitter帐户信息,找到人,组织,事件以及当前和未来事件之间的相关性。
它与2017年12月淘汰的三场比赛相匹配。
缓存数据和链接源帮助我恢复CC包中的压缩文件。
包中包含四个主要脚本(三个PHP文件和一个JavaScript文件),这些脚本被复制到Web服务器。
Web服务器可能受到攻击者和其他方式的威胁。
主脚本索引。
Php包含SVG动画。访问者访问此页面时,将显示以下屏幕。
该脚本的网页是“回流”,恶意的JavaScript文件的内容(名称已改为PNG)发送到受害者的电脑,显示了由后门脚本进行评估我会的。
恶意脚本使用WMI检索系统信息并将其作为身份验证方法的一部分发回。
在这里,您可以看到恶意脚本在无限循环中执行,并且正在等待上载,下载和执行等命令。
“mAuth”函数生成短随机字符串,将它们与系统信息连接起来,并使用Base64编码的cookie将它们传递给CC。
这些随机字符串很重要,因为它们用作标签来标识它们之间包含的指令。
数据通过AJAX返回CC。
有一个名为“FillHeader”的函数来填充HTTP标头。
以下是受害者的PC发出HTTP请求时的外观。使用Base64解密cookie的值时,它将成为第二行。
在第二符号指示系统信息之后,重复链中的Base 64的解码。
其中一个PHP脚本是在HTML代码中修改的模板,以使页面看起来合法(例如,它包含实际网页的一部分)。
该脚本已重命名并编入索引。
PHP脚本参考
此脚本具有上载和下载文件以及创建活动记录的所有功能。
日志文件包含受害者的IP地址,上载和下载的文件,会话信息等。
“身份验证”功能读取受害者的cookie值,分析系统信息以及用于创建日志文件名称的变量。
用户名和受害者计算机的名称是MD5哈希值,用作日志文件名称的一部分。
当受害者的PC连接到CC时,在CC服务器上创建三个文件。包中的最后一个PHP脚本用于与受害者的PC进行交互,并将命令发送到受害者的PC。
请考虑时区和有趣的登录方法。
可用的命令非常有限,但这足以让攻击者在受害者的PC上加载更强大的工具并增加对网络的访问。
最后,如果攻击者发现他将被发现,他或她可以使用此脚本中内置的一系列其他命令删除所有重要的日志文件。
本网站上的文章是原始批准的材料,书籍或原创在线文章。如果存在冲突或侵犯版权,请立即与我联系。请分享,引用,转载,但我们将拒绝直接搬砖和偷窃。
谢谢你回家
上一页:请勿在用户的浏览器中显示该网页。
下一步:描述MySQL参考和Sysbench工具