欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

金融圈银行服务机构的恶意病毒木马软件运用CDN漏洞bug洪水似的到处传播感染

来源:本站整理 作者:佚名 时间:2017-09-18 TAG: 我要投稿

像Netflix如许的办事商平日应用内容散发网络(CDN)来最大限度地进步带宽应用率,当用户在Netflix上旁观影片刻,因为CDN办事器接近用户所在地,是以用户在旁观电视剧或许片子时,影片内容的加载光阴将会很快,以使得全球的用户都可以或许得到良好的观影后果。然则,CDN却开端成为流传黑客恶意软件的新方法。
 

图1:2016年6月检测到的NSIS/TrojanDropper.Agent.CL
应用CDN停止网络入侵攻击的入侵攻击链异常普遍,此中包括履行长途剧本(在某些方面相似于最近的“无文件”银行黑客恶意软件)、将CDN用于敕令和节制(C&C)办事器和应用其余“高档”技巧来掩护黑客恶意软件等。本文的目标是对downAndExec技巧停止阐发,该技巧正普遍应用JS剧本在受害者的机械上下载和履行黑客恶意软件。
阶段1:初始沾染
入侵攻击链从发送一些文件开端,这些文件被ESET检测到并定名为NSIS/TrojanDropper.Agent.CL。在VirusTotal上经由进程文件名来查问与文件名相干联的样本,咱们看到该范例的黑客恶意软件是经由进程应用社会工程技巧来欺骗受害者履行机械上的黑客恶意软件的,查问的成果如下表所示:

自版本9.43(June/2014)宣布以来,NSIS黑客恶意软件最大的的特色之一便是可以或许提取嵌入在可履行文件中的剧本,该剧本具有黑客恶意软件初始阶段的一切功效。该剧本在加载时,经由进程普遍应用递归挪用来加大网安对象监视其履行门路的难度。在NSIS黑客恶意软件的各个版本中,原始剧本根本很少改动,在剧本完成上利用了ActiveX等资本(仅适用于Internet Explorer),咱们可以或许应用Google Chrome浏览器的DevTools对象来调试该剧本。
 

图2:应用DevTools对象对剧本停止调试
提取到的剧本在黑客恶意软件中饰演downloader的脚色,目标是在受害者的盘算机上下载并履行其余范例的黑客恶意软件,剧本在履行的进程当中会从内部主机上下载一段JS代码片断,该JS代码片断是黑客恶意软件履行进程当中所必须的。
在网络入侵攻击链中,供给CDN办事的主机被用来托管上述JS代码片断。因为对全部CDN域名停止阻断不切实际,是以当处置这类威逼时咱们将面对如下挑衅:
1. 阻拦新的C&C黑客恶意软件:这可以或许是为何咱们不停看到新的URLS频仍呈如今同一个域名上的缘故原由。
2. 搜刮IoC:在受影响的情况中,存在大批非黑客恶意软件拜访记载。
 

图3:模仿托管黑客恶意JS代码段的CDN
为了模仿托管黑客恶意JS代码片断的CDN并便利调试进程,咱们可以或许应用当地HTTP办事在当地机械上供给此内容散发办事。
 

图4:加载内部托管的JS代码片断
经由进程上图咱们可以或许看到剧本是若何向内部域(CDN)收回哀求以得到该代码片断内容的,假如相应状况为“OK”(即HTTP 200),则表现剧本胜利从CDN上得到到代码片断的内容。
阶段2:下载阶段
在挪用f()函数得到到前往的JS代码片断后,剧本挪用eval()函数,将“downAndExec(\”
 \“,”parameter_2“\”)”字符串增加到JS代码片断的末端,如下图所示:
 

图5:将C&C URL和x-id拔出到JS代码片断中
第一个参数(
)对应于C&C办事器的URL,第二个参数(
)包括了“x-id”数据,该数据用于下载黑客恶意软件的其余有用载荷。
 

图6:downAndExec中触及到文件的干系
JS代码片断只要在履行时才会在代码中呈现几个特性字符串,这使适合对JS代码片断履行动态阐发时很难理解剧本的寄义(纵然函数的称号未被改动或隐约)。
 

图7:JS片断中应用的混杂
JS剧本的重要功效部门是NSIS downloader增加的downAndExec()函数。这意味着假如零丁在沙盒情况中阐发该JS代码片断,代码的黑客恶意函数将不会被履行,那末末了得出的阐发成果可以或许便是该代码片断不是黑客恶意的。
 

图8:JS代码段中的downAndExec()的界说
除对沙盒情况停止检测以外,剧本还在履行黑客恶意代码以前履行多个反省,以便对黑客恶意代码的履行情况履行全面的检测。第一个检测函数是isOS(),它只是简略的前往true,但也可以或许是这个黑客恶意软件将来版本的存根。第二个反省是hasAnyPrograms(),它反省受害者的盘算机上能否安装了入侵攻击者感兴趣的应用法式。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载