FakeUpdates向用戶推送假的更新通知，入侵大量的CMS平台

自2017年12月起，一個利用社會工程學攻擊，向用戶推送非常可信的假更新通知的攻擊活動開始活躍，稱之為FakeUpdates。該攻擊活動入侵了大量的web站點，影響主流的CMS平台，包括WordPress，Joomla等。

下面我們對FakeUpdates活動的過濾和避免檢測技術進行分析。更新文件並不是可執行文件，而是一個從DropBox下載的腳本。

研究人員發現多個未及時更新的CMS網站，這些網站易被惡意代碼注入。攻擊者可能會用相同的技術來構建被黑網站庫，但目前還沒有明顯證據。

WordPress 和 Joomla

WordPress和Joomla站點都因為CMS JS文件注入被攻擊了。

圖2 被黑的WordPress站點推送假的Google Chrome更新

圖3 被黑的Joomla站點推送假的Mozilla Firefox更新

常見的被注入的文件有jquery.js和caption.js庫，研究人員對可疑文件和原文件進行了對比。對比結果如下：

圖4 可疑庫文件和原文件對比

加入的代碼就是負責下一步的事件，即在用戶訪問的站點上載入欺騙層。下圖是CMS平台上代碼注入的美化版本，目的是調用重定向的URL：

圖5 負責重定向的注入代碼

研究人員寫了一個簡單的爬蟲來瀏覽下面的站點列表，然後從語法上去分析結果。一共識別出上百個被黑的WordPress和Joomla站點，因為沒有準確的統計數字，研究人員估計數量至少上千。

圖6 部分被黑網站列表

Squarespace

Squarespace是另一個流行的CMS，也受到此次惡意活動的影響。2月28日，有Squarespace用戶在論壇求助說「它被重定向到一個chrome需要更新的頁面」。

圖7 Squarespace用戶報告站點被黑

研究人員登錄到控制面板頁，在git歷史中發現用戶之前沒有登錄過，但是上周上傳了一個site-bundle.js文件，還有一些其他的sic文件。

研究人員深入分析了這些被黑的站點，發現了與WordPress和Joomla站點不同的重定向機制。在Squarespace站點中，JS文件是直接注入到站點的主頁的。

圖8 通過流量發現Squarespace站點存在惡意重定向活動

圖9 被黑的Squarespace站點中注入的代碼

bundle.js含有前面描述的調用重定向URL的功能。

圖10 WP 和 Joomla注入中使用了相同的重定向代碼

根據PublicWWW的調查結果，大約900個SquareSpace被注入了惡意重定向代碼。

圖11 找出其他被黑的Squarespace站點

重定向URL 和過濾

所有出發了重定向URI的CMS都會載入欺騙的更新主題。研究人員測試發現，URL的識別號是與CMS的類型有關的，比如cid=221是WordPress站點，cid=208是Joomla站點。

WordPress track.positiverefreshment[.]org/s_code.js?cid=221&v=8fdbe4223f0230a93678track.positiverefreshment.org/s_code.js?cid=225&v=0bbea7365fbb07c7acb3 track.amishbrand[.]com/s_code.js?cid=205&v=c40bfeff70a8e1abc00f track.amishbrand.com/s_code.js?cid=228&v=e8bfa92965d1d880bac2 track.amishbrand[.]com/s_code.js?cid=234&v=59f4ba6c3cd7f37abedc track.amishbrand[.]com/s_code.js?cid=237&v=7e3403034b8bf0ac23c6 Joomla connect.clevelandskin[.]com/s_code.js?cid=208&v=e1acdea1ea51b0035267 track.positiverefreshment[.]org/s_code.js?cid=220&v=24eca7c911f5e102e2ba track.amishbrand[.]com/s_code.js?cid=226&v=4d25aa10a99a45509fa2 SquareSpace track.amishbrand[.]com/s_code.js?cid=232&v=47acc84c33bf85c5496d Open Journal Systems track.positiverefreshment[.]org/s_code.js?cid=223&v=7124cc38a60ff6cb920d Unknown CMS track.positiverefreshment[.]org/s_code.js?cid=211&v=7c6b1d9ec5023db2b7d9 track.positiverefreshment[.]org/s_code.js?cid=227&v=a414ad4ad38395fc3c3b

除此之外，還有一些廣告控制項，比如：

track.positiverefreshment.net81/adrotator/banner.js?cid=100

如果我們關注重定向代碼本身，就會發現潛在的受害者是有指紋的，最終的重定向是有條件的，那就是每個IP地址只點擊一次。最後的JS負責為下一個序列創建iframe URL。

圖12 指紋，cookie驗證和iframe重定向

FakeUpdates

對Chrome, Firefox 和 Internet Explorer瀏覽器都有不同的模板，最後甚至還有Flash Player更新的模板。

圖13 攻擊者對不同的瀏覽器有不同的模板

合法域名和影子域名

https//pask.spgolfshoes[.]com/95b40f61578eed04ff464c5055990abbupdate{trimmed}

圖14 所有者的憑證被竊取，然後被用來註冊惡意子域名

駐留域名

http//zlsk.redneckonize[.]com/wordpress/article.php?f=445327&g={trimmed}

圖15 駐留域名

感染鏈和payload

感染是從一個偽造的更新文件開始的，該更新偽裝成從Dropbox取回的JS腳本。

圖16 含有Dropbox URL的fileURL

該JS文件經過了多層混淆，這讓靜態分析變得很難，而且隱藏了一些重要的指紋信息，這些信息可以用來進行虛擬機逃逸。

圖17 從DropBox下載的惡意JS腳本

通過對JS文件進行深度分析，研究人員發現這是因為受害者畫像的第二步是用WScript.Network和WMI來收集系統信息，最終繼續payload或者結束腳本。如果感染失敗，那麼就只含有到C2伺服器的兩個回調。

圖18 檢測到的感染失敗的主機

而成功的感染含有到C2伺服器的3次回調。

圖19 感染成功的主機

編碼的payload流需要用wscript.exe進行解碼，然後就會在%temp%文件夾中釋放一個惡意二進位文件。該文件用數字簽名過，並且使用了許多避免被檢測到的技術。

圖20 數字簽名的文件並不能確保安全

研究人員最後發現這是Chtonic銀行惡意軟體，ZeusVM的變種。一旦系統重啟，Chtonic就會從94.100.18[.]6/3.bin提取配置文件。

在第二次重放嘗試中，研究人員獲取了NetSupport 遠程訪問工具，一個商業的RAT軟體。而且又對惡意目的的文件傳輸，遠程桌面等程序的傳播進行了混淆。

圖21 RAT感染帶來的流量，顯示了後端伺服器

結論

本行動使用了社會工程和濫用合法文件存儲服務來進行傳播。誘餌文件含有一個腳本而不是惡意可執行文件，這讓攻擊者可以很靈活地開發混淆和指紋技術。被黑的站點不僅會重定向用戶，還會推送假的瀏覽器更新，讓站點擁有者加入到惡意活動中。所以CMS站點要及時更新，在認證時需要使用好的安全措施。

本文翻譯自：https//http://blog.malwarebytes.com/threat-analysis/2018/04/fakeupdates-campaign-leverages-multiple-website-platforms/如若轉載，請註明原文地址： http://www.4hou.com/info/news/11081.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：