2kb JavaScript后门分析

2018-04-1611:13:20 发表评论

2kb JavaScript后门分析

在一台被侵犯的效劳器上,咱们创造了一个进犯者残存下来的脚原。该脚原是由JavaScript编写的,重要功效是动作Windows后门及C&C后端运用。在此地尔最先要向大师说声道歉,为了维护客户的秘密,在原文中尔没有会对于一些细节干太多的讨论和刻画。
该脚原的体积十分的小惟有没有到2KB,独一能标明它的存留的是一个名为“wscript.exe”的运转过程,这是一个正当的Windows步调。脚原的重要局部包括一个无限轮回的吩咐等候,在将查问字符串“reflow”传播给C&C 之后,它会休眠4个小时。

C&C的回调如下所示:

为了获得更多的信息,尔启始在百般搜寻引擎和VirusTotal中搜寻相干的代码段,但是令尔悲观的是尔什么也没创造。因此,尔绝断运用Recorded Future来帮帮尔寻觅。Recorded Future不妨经过扫描并分解不计其数网站、专客、twitter帐户的信息来找到暂时和将来人们、构造、运动和事变之间的联系性。
在返回截止中配合了三个在2017年12月简略的配合项。慢存的数据和链接回的源帮帮尔用C&C包回复了压缩文献。

在软件包中有四个重要脚原(3个PHP和1个JavaScript文献)被复制到Web效劳器。web效劳器大概遭到进犯者统制或者遭到其余手法的妨害。个中的重要脚原index.php包括了一个SVG动绘,当考察者凑巧考察该页面后,会瞅到如下绘面。

该脚原显现,当“reflow”传播到页面时,恶念JavaScript文献(被沉定名为一个PNG文献)的实质将被发送到遇害者PC,并经过后门脚原举行评价。恶念脚原会经过WMI来获得体系信息,而后将该信息动作其身份考证方式的一局部发还。
在此地咱们不妨瞅到,该恶念脚原被无限轮回运转,等候上传,下载和实行等吩咐。

“mAuth”函数会天生欠随机字符串,并将它们与体系信息对接起来,并在Base64编码后的Cookie中将其传播给C&C。这些随机字符串很要害,由于它们被用作标志来辨别包括在它们之间的指令。

数据经过AJAX回传给C&C。此地有一个名为“FillHeader”的函数用来弥补HTTP头。

以下是当遇害者PC查瞅时HTTP乞求的格式:

对于cookie值实行Base64解码截止在第两行。在第两个标记显现体系信息后,反复字符串上的Base64解码。

个中的一个PHP脚原犹如是一个模板,被运用HTML代码建改以使页面瞅起来正当(比方,它包括本质网页的一局部)。该脚原被沉定名并由index.php脚原引用。该脚原具备控制上传和下载文献以及创造运动日记的一切功效。日记文献包罗遇害者的IP地方,上传和下载的文献,会话信息等。
“Authentication”函数读取来自遇害者的cookie值并领会出体系信息,以及界说用于创造日记文献名的变量。遇害者的用户名和估计机称呼为MD5哈希,并被动作日记文献称呼的一局部运用。当遇害者PC对接到C&C时,会在C&C效劳器上创造三个文献:

包中的末尾一个PHP脚原用于与遇害PC举行接互,并将吩咐发送给遇害PC。请注沉timezone和风趣的login方式。

可用的吩咐十分有限,但是这曾经脚以让进犯者将更多更强盛的东西上传到遇害者的PC上,并获得更进一步的搜集考察权力。末尾,假如进犯者意识到他们将要被创造,他们不妨运用此脚原中内置的另一组吩咐,来简略一切要害的日记文献。

CE安全网
CE安全网广告位招租

发表评论

您必须登录才能发表评论!