中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何分析攻擊者遺留的JavaScript后門腳本

發布時間:2021-11-18 14:34:38 來源:億速云 閱讀:172 作者:柒染 欄目:網絡管理

這篇文章給大家介紹如何分析攻擊者遺留的JavaScript后門腳本,內容非常詳細,感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。

在一臺被入侵的服務器上,我們發現了一個攻擊者遺留下來的腳本。該腳本是由JavaScript編寫的,主要功能是作為Windows后門及C&C后端使用。在這里我首先要向大家說聲抱歉,為了保護客戶的隱私,我不會對一些細節做太多的探討和描述。

該腳本的體積非常的小只有不到2KB,唯一能表明它的存在的是一個名為“wscript.exe”的運行進程,這是一個合法的Windows程序。腳本的主要部分包含一個無限循環的命令等待,在將查詢字符串“reflow”傳遞給C&C 之后,它會休眠4個小時。

如何分析攻擊者遺留的JavaScript后門腳本

C&C的回調如下所示:

如何分析攻擊者遺留的JavaScript后門腳本

為了獲取更多的信息,我開始在各種搜索引擎和VirusTotal中搜索相關的代碼段,但令我失望的是我什么也沒發現。因此,我決定使用Recorded Future來幫助我尋找。Recorded Future可以通過掃描并分析成千上萬網站、博客、twitter帳戶的信息來找到目前和未來人們、組織、活動和事件之間的關聯性。

 在返回結果中匹配了三個在2017年12月刪除的匹配項。緩存的數據和鏈接回的源幫助我用C&C包恢復了壓縮文件。

如何分析攻擊者遺留的JavaScript后門腳本

在軟件包中有四個主要腳本(3個PHP和1個JavaScript文件)被復制到Web服務器。web服務器可能受到攻擊者控制或受到其它手段的危害。其中的主要腳本index.php包含了一個SVG動畫,當訪問者碰巧訪問該頁面后,會看到如下畫面。

如何分析攻擊者遺留的JavaScript后門腳本

該腳本顯示,當“reflow”傳遞到頁面時,惡意JavaScript文件(被重命名為一個PNG文件)的內容將被發送到受害者PC,并通過后門腳本進行評估。惡意腳本會通過WMI來獲取系統信息,然后將該信息作為其身份驗證方法的一部分發回。

在這里我們可以看到,該惡意腳本被無限循環運行,等待上傳,下載和執行等命令。

如何分析攻擊者遺留的JavaScript后門腳本

“mAuth”函數會生成短隨機字符串,并將它們與系統信息連接起來,并在Base64編碼后的Cookie中將其傳遞給C&C。這些隨機字符串很重要,因為它們被用作標記來識別包含在它們之間的指令。

如何分析攻擊者遺留的JavaScript后門腳本

數據通過AJAX回傳給C&C。這里有一個名為“FillHeader”的函數用來填充HTTP頭。

如何分析攻擊者遺留的JavaScript后門腳本

以下是當受害者PC檢查時HTTP請求的樣子:

如何分析攻擊者遺留的JavaScript后門腳本

對cookie值執行Base64解碼結果在第二行。在第二個符號顯示系統信息后,重復字符串上的Base64解碼。

如何分析攻擊者遺留的JavaScript后門腳本

其中的一個PHP腳本似乎是一個模板,被使用HTML代碼修改以使頁面看起來合法(例如,它包含實際網頁的一部分)。該腳本被重命名并由index.php腳本引用。該腳本具有負責上傳和下載文件以及創建活動日志的所有功能。日志文件包括受害者的IP地址,上傳和下載的文件,會話信息等。

“Authentication”函數讀取來自受害者的cookie值并解析出系統信息,以及定義用于創建日志文件名的變量。受害者的用戶名和計算機名稱為MD5哈希,并被作為日志文件名稱的一部分使用。當受害者PC連接到C&C時,會在C&C服務器上創建三個文件:

如何分析攻擊者遺留的JavaScript后門腳本

包中的最后一個PHP腳本用于與受害PC進行交互,并將命令發送給受害PC。請注意timezone和有趣的login方法。

如何分析攻擊者遺留的JavaScript后門腳本

可用的命令非常有限,但這已經足以讓攻擊者將更多更強大的工具上傳到受害者的PC上,并獲取更進一步的網絡訪問權限。最后,如果攻擊者意識到他們即將被發現,他們可以使用此腳本中內置的另一組命令,來刪除所有重要的日志文件。

關于如何分析攻擊者遺留的JavaScript后門腳本就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

江川县| 荔波县| 德安县| 镇巴县| 建始县| 石城县| 宁河县| 游戏| 桓台县| 沈阳市| 元谋县| 郎溪县| 洱源县| 潢川县| 浪卡子县| 大宁县| 金湖县| 闵行区| 东乡县| 龙海市| 漠河县| 仁化县| 石渠县| 岳阳市| 漳浦县| 阜平县| 武威市| 津市市| 乌海市| 旬阳县| 汶上县| 根河市| 应城市| 弋阳县| 东光县| 称多县| 巴东县| 清河县| 青阳县| 长沙市| 信阳市|