2kb JavaScript后门分析

在一台被侵犯的效劳器上，咱们创造了一个进犯者残存下来的脚原。该脚原是由JavaScript编写的，重要功效是动作Windows后门及C&C后端运用。在此地尔最先要向大师说声道歉，为了维护客户的秘密，在原文中尔没有会对于一些细节干太多的讨论和刻画。
该脚原的体积十分的小惟有没有到2KB，独一能标明它的存留的是一个名为“wscript.exe”的运转过程，这是一个正当的Windows步调。脚原的重要局部包括一个无限轮回的吩咐等候，在将查问字符串“reflow”传播给C&C 之后，它会休眠4个小时。

C&C的回调如下所示：

为了获得更多的信息，尔启始在百般搜寻引擎和VirusTotal中搜寻相干的代码段，但是令尔悲观的是尔什么也没创造。因此，尔绝断运用Recorded Future来帮帮尔寻觅。Recorded Future不妨经过扫描并分解不计其数网站、专客、twitter帐户的信息来找到暂时和将来人们、构造、运动和事变之间的联系性。
在返回截止中配合了三个在2017年12月简略的配合项。慢存的数据和链接回的源帮帮尔用C&C包回复了压缩文献。

在软件包中有四个重要脚原（3个PHP和1个JavaScript文献）被复制到Web效劳器。web效劳器大概遭到进犯者统制或者遭到其余手法的妨害。个中的重要脚原index.php包括了一个SVG动绘，当考察者凑巧考察该页面后，会瞅到如下绘面。

该脚原显现，当“reflow”传播到页面时，恶念JavaScript文献（被沉定名为一个PNG文献）的实质将被发送到遇害者PC，并经过后门脚原举行评价。恶念脚原会经过WMI来获得体系信息，而后将该信息动作其身份考证方式的一局部发还。
在此地咱们不妨瞅到，该恶念脚原被无限轮回运转，等候上传，下载和实行等吩咐。

“mAuth”函数会天生欠随机字符串，并将它们与体系信息对接起来，并在Base64编码后的Cookie中将其传播给C&C。这些随机字符串很要害，由于它们被用作标志来辨别包括在它们之间的指令。

数据经过AJAX回传给C&C。此地有一个名为“FillHeader”的函数用来弥补HTTP头。

以下是当遇害者PC查瞅时HTTP乞求的格式：

对于cookie值实行Base64解码截止在第两行。在第两个标记显现体系信息后，反复字符串上的Base64解码。

个中的一个PHP脚原犹如是一个模板，被运用HTML代码建改以使页面瞅起来正当（比方，它包括本质网页的一局部）。该脚原被沉定名并由index.php脚原引用。该脚原具备控制上传和下载文献以及创造运动日记的一切功效。日记文献包罗遇害者的IP地方，上传和下载的文献，会话信息等。
“Authentication”函数读取来自遇害者的cookie值并领会出体系信息，以及界说用于创造日记文献名的变量。遇害者的用户名和估计机称呼为MD5哈希，并被动作日记文献称呼的一局部运用。当遇害者PC对接到C&C时，会在C&C效劳器上创造三个文献：

包中的末尾一个PHP脚原用于与遇害PC举行接互，并将吩咐发送给遇害PC。请注沉timezone和风趣的login方式。

可用的吩咐十分有限，但是这曾经脚以让进犯者将更多更强盛的东西上传到遇害者的PC上，并获得更进一步的搜集考察权力。末尾，假如进犯者意识到他们将要被创造，他们不妨运用此脚原中内置的另一组吩咐，来简略一切要害的日记文献。