FakeUpdates向用戶推送假的更新通知,入侵大量的CMS平台
自2017年12月起,一個利用社會工程學攻擊,向用戶推送非常可信的假更新通知的攻擊活動開始活躍,稱之為FakeUpdates。該攻擊活動入侵了大量的web站點,影響主流的CMS平台,包括WordPress,Joomla等。
下面我們對FakeUpdates活動的過濾和避免檢測技術進行分析。更新文件並不是可執行文件,而是一個從DropBox下載的腳本。
研究人員發現多個未及時更新的CMS網站,這些網站易被惡意代碼注入。攻擊者可能會用相同的技術來構建被黑網站庫,但目前還沒有明顯證據。
WordPress 和 Joomla
WordPress和Joomla站點都因為CMS JS文件注入被攻擊了。
圖2 被黑的WordPress站點推送假的Google Chrome更新
圖3 被黑的Joomla站點推送假的Mozilla Firefox更新
常見的被注入的文件有jquery.js和caption.js庫,研究人員對可疑文件和原文件進行了對比。對比結果如下:
圖4 可疑庫文件和原文件對比
加入的代碼就是負責下一步的事件,即在用戶訪問的站點上載入欺騙層。下圖是CMS平台上代碼注入的美化版本,目的是調用重定向的URL:
圖5 負責重定向的注入代碼
研究人員寫了一個簡單的爬蟲來瀏覽下面的站點列表,然後從語法上去分析結果。一共識別出上百個被黑的WordPress和Joomla站點,因為沒有準確的統計數字,研究人員估計數量至少上千。
圖6 部分被黑網站列表
Squarespace
Squarespace是另一個流行的CMS,也受到此次惡意活動的影響。2月28日,有Squarespace用戶在論壇求助說「它被重定向到一個chrome需要更新的頁面」。
圖7 Squarespace用戶報告站點被黑
研究人員登錄到控制面板頁,在git歷史中發現用戶之前沒有登錄過,但是上周上傳了一個site-bundle.js文件,還有一些其他的sic文件。
研究人員深入分析了這些被黑的站點,發現了與WordPress和Joomla站點不同的重定向機制。在Squarespace站點中,JS文件是直接注入到站點的主頁的。
圖8 通過流量發現Squarespace站點存在惡意重定向活動
圖9 被黑的Squarespace站點中注入的代碼
bundle.js含有前面描述的調用重定向URL的功能。
圖10 WP 和 Joomla注入中使用了相同的重定向代碼
根據PublicWWW的調查結果,大約900個SquareSpace被注入了惡意重定向代碼。
圖11 找出其他被黑的Squarespace站點
重定向URL 和過濾
所有出發了重定向URI的CMS都會載入欺騙的更新主題。研究人員測試發現,URL的識別號是與CMS的類型有關的,比如cid=221是WordPress站點,cid=208是Joomla站點。
WordPress track.positiverefreshment[.]org/s_code.js?cid=221&v=8fdbe4223f0230a93678track.positiverefreshment.org/s_code.js?cid=225&v=0bbea7365fbb07c7acb3 track.amishbrand[.]com/s_code.js?cid=205&v=c40bfeff70a8e1abc00f track.amishbrand.com/s_code.js?cid=228&v=e8bfa92965d1d880bac2 track.amishbrand[.]com/s_code.js?cid=234&v=59f4ba6c3cd7f37abedc track.amishbrand[.]com/s_code.js?cid=237&v=7e3403034b8bf0ac23c6 Joomla connect.clevelandskin[.]com/s_code.js?cid=208&v=e1acdea1ea51b0035267 track.positiverefreshment[.]org/s_code.js?cid=220&v=24eca7c911f5e102e2ba track.amishbrand[.]com/s_code.js?cid=226&v=4d25aa10a99a45509fa2 SquareSpace track.amishbrand[.]com/s_code.js?cid=232&v=47acc84c33bf85c5496d Open Journal Systems track.positiverefreshment[.]org/s_code.js?cid=223&v=7124cc38a60ff6cb920d Unknown CMS track.positiverefreshment[.]org/s_code.js?cid=211&v=7c6b1d9ec5023db2b7d9 track.positiverefreshment[.]org/s_code.js?cid=227&v=a414ad4ad38395fc3c3b
除此之外,還有一些廣告控制項,比如:
track.positiverefreshment.net81/adrotator/banner.js?cid=100
如果我們關注重定向代碼本身,就會發現潛在的受害者是有指紋的,最終的重定向是有條件的,那就是每個IP地址只點擊一次。最後的JS負責為下一個序列創建iframe URL。
圖12 指紋,cookie驗證和iframe重定向
FakeUpdates
對Chrome, Firefox 和 Internet Explorer瀏覽器都有不同的模板,最後甚至還有Flash Player更新的模板。
圖13 攻擊者對不同的瀏覽器有不同的模板
合法域名和影子域名
https//pask.spgolfshoes[.]com/95b40f61578eed04ff464c5055990abbupdate{trimmed}
圖14 所有者的憑證被竊取,然後被用來註冊惡意子域名
駐留域名
http//zlsk.redneckonize[.]com/wordpress/article.php?f=445327&g={trimmed}
圖15 駐留域名
感染鏈和payload
感染是從一個偽造的更新文件開始的,該更新偽裝成從Dropbox取回的JS腳本。
圖16 含有Dropbox URL的fileURL
該JS文件經過了多層混淆,這讓靜態分析變得很難,而且隱藏了一些重要的指紋信息,這些信息可以用來進行虛擬機逃逸。
圖17 從DropBox下載的惡意JS腳本
通過對JS文件進行深度分析,研究人員發現這是因為受害者畫像的第二步是用WScript.Network和WMI來收集系統信息,最終繼續payload或者結束腳本。如果感染失敗,那麼就只含有到C2伺服器的兩個回調。
圖18 檢測到的感染失敗的主機
而成功的感染含有到C2伺服器的3次回調。
圖19 感染成功的主機
編碼的payload流需要用wscript.exe進行解碼,然後就會在%temp%文件夾中釋放一個惡意二進位文件。該文件用數字簽名過,並且使用了許多避免被檢測到的技術。
圖20 數字簽名的文件並不能確保安全
研究人員最後發現這是Chtonic銀行惡意軟體,ZeusVM的變種。一旦系統重啟,Chtonic就會從94.100.18[.]6/3.bin提取配置文件。
在第二次重放嘗試中,研究人員獲取了NetSupport 遠程訪問工具,一個商業的RAT軟體。而且又對惡意目的的文件傳輸,遠程桌面等程序的傳播進行了混淆。
圖21 RAT感染帶來的流量,顯示了後端伺服器
結論
本行動使用了社會工程和濫用合法文件存儲服務來進行傳播。誘餌文件含有一個腳本而不是惡意可執行文件,這讓攻擊者可以很靈活地開發混淆和指紋技術。被黑的站點不僅會重定向用戶,還會推送假的瀏覽器更新,讓站點擁有者加入到惡意活動中。所以CMS站點要及時更新,在認證時需要使用好的安全措施。
本文翻譯自:https//http://blog.malwarebytes.com/threat-analysis/2018/04/fakeupdates-campaign-leverages-multiple-website-platforms/如若轉載,請註明原文地址: http://www.4hou.com/info/news/11081.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※IoT安全之設備安全性亟需提高
※使用zANTI進行滲透測試
※Google與微軟互懟,看看誰的瀏覽器沙箱更安全?
※青春期少年竟是美國政府信息泄露懸案的真兇
※滲透測試人員知識體系V1.0
TAG:信息安全 |