用户
搜索
  • TA的每日心情
    开心
    2017-8-10 13:57
  • 签到天数: 3 天

    连续签到: 1 天

    [LV.2]偶尔看看I

    SRC部落

    Rank: 7Rank: 7Rank: 7

    39

    主题

    48

    帖子

    2103

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2016-8-31

    i春秋认证SRC部落

    发表于 2017-4-19 10:13:17 934164
    本帖最后由 唯品会SRC 于 2017-4-19 10:14 编辑

    6856d29642e75d3e04b65e6364555200.jpg 0×01 异常事件的发现
    最近我们通过内网监控系统发现了一起内网机器的异常访问行为,有一台机器在短时间内多次访问连接
    f2e335cb96e38c685bd2e53d9915b77d.jpg
    看域名是国内的个人网站,这样的访问是非常少见的,通过查看该网页的源文件发现是包含一段加密的js文件,


    f0b4fc90221dcb6ecfb953435aec762f.jpg


    直觉发现该文件可能是网页挂马行为,于是有了下面的分析
    0×02 挂马的验证页面
    保存该index.html文件到本地来进行调试,经过美化之后的代码做了混淆,我们调试时在return p处断点。
    得到要执行的P值后,可以看到其经过了多次eval函数。


    6805872998640a3cee2cc7b77f53aa3f.jpg
    多次跟踪调试可发现最终执行的代码如下
    2bfa1c134d5cc053b3e18f02e96f18fc.jpg
    其中gs7sfd函数会通过IE的ActiveXObject来验证用户电脑里是否存在安全软件的驱动文件。而gs7sfe函数会通过Image标签来验证用户电脑是否存在杀毒程序文件、(实际利用了IE的本地文件探测漏洞),如果文件都不存则会在页面写入iframe文件win.html。

    0×03 flash挂马页面
    接着下载分析win.html文件,其也是进行了混淆加密。
    4addb49d84a7543a37d6a594488c3389.jpg


    其方式和index.html一样都是进行了多次eval。
    经过多次调试运行即得到最终执行的代码。
    该程序会先通过cookie来验证用户是否访问过该链接,如果没有访问过即开始进行挂马 。
    4e0a580060e656e876d7c181f99d0379.jpg
    在进行挂马的时候会先获取flash的版本,来选择对应的挂马脚本,看来这个挂马做了很多兼容。
    aa668de3e94705f6e6be12d7ba7fe39b.jpg


    可惜的是没有能够下载到flash文件,其目录下的ad.swf logo.swf文件已被删除了。
    但是下面还有一次挂马, 这段代码会验证是否为IE游览器,如果是则会在页面写入iframe文件main.html。


    66dbc20cfdb67fde8806b9d6ee543b27.jpg

    0×04 利用CVE-2014-6332进行挂马
    查看main.html 文件可以发现这是一个典型的通过CVE-2014-6332 来进行挂马的页面。(http://www.freebuf.com/articles/system/51501.html
    该漏洞利用VBScript来进行远程执行命令,影响的是IE3到IE11,范围非常广。


    a2698dfc8d5fc8949c7199fd4ffe9fd3.jpg


    并且中间还插入了一大段混淆的javascript 代码,通过分析可以找到其中下载并执行了Server.exe 文件。
    59579d40067e652e1ebed20e5677d9a5.jpg

    0×05 木马分析
    下载server.exe文件 上传到virscan进行分析
    http://r.virscan.org/report/f61ac43bbeda227e8ce8e46df6438570
    其会先发送消息统计被害者的mac信息 os版本。
    然后会请求          http://**.169.242.**:8312/1.txt


    a5e6335cd09d6a992fd99f02b063967c.jpg               
    来下载多个exe文件来执行            
    407755724d82ecc154152a483e2d0289.jpg
    分析发现其中的4个文件都会用来推广安装的恶意软件。另外一个1.exe是黑客用来控制电脑的远控程序。

    0×06 总结
    该网马通过没有打MS14-064补丁的IE 来传播该漏洞,首先会检查检查用户是否安装了安全软件,如果未安装即iframe写入页面win.html,这个页面会检查用户是否为初次访问,如果是接着会检查用户当前的flash版本,接着进行flash挂马。
    然后还会写入main.html页面使用CVE-2014-6332来下载http://**.169.242.**:8080/Server.exe执行。
    Server.exe的作用类似下载者木马,执行了之后会统计用户的mac os等信息发送给黑客, 接着继续下载http://**.169.242.**:8312/1.txt。中的5个可执行文件来运行,其中4个是要进行推广的软件,另外一个是黑客的远程控制程序。
    后续通过默认账户进入了其中的一个统计后台:http://**.169.242.**:8312/login.asp
    短短一天就有1760台的安装量  而且这个数字还在不断增长。


    5274ab47b7aba8f89381174ef39c1c95.jpg


    精彩原创文章投稿有惊喜!
    580d9bd882d57e4c305d473cecea6d51.jpg 欢迎投稿!
    VSRC欢迎精品原创类文章投稿,优秀文章一旦采纳发布,将有好礼相送(至少为500元唯品卡)我们为您准备的丰富奖品包括但不仅限于:MacbookAir、VSRC定制雨伞,VSRC定制水杯以及VSRC精美靠枕!(活动最终解释权归VSRC所有)






    我们聆听您宝贵建议





    不知道,大家都喜欢阅读哪些类型的信息安全文章?
    不知道,大家都希望我们更新关于哪些主题的干货?
    现在起,只要您有任何想法或建议,欢迎直接回复本公众号留言!
    精彩留言互动的热心用户,将有机会获得VSRC赠送的精美奖品一份!

    同时,我们也会根据大家反馈的建议,选取热门话题,进行原创发布!


    10c99f59ec667fc1d5811c5d915e8ff9.jpg
    a33345910627e3157de020a735eafc26.jpg
    学习了!
    使用道具 举报 回复
    哟呵,唯品会的干货
    使用道具 举报 回复
    发表于 2017-4-20 09:46:44
    很好的文章,对混淆js进行了细致的分析,赞
    使用道具 举报 回复
    发表于 2017-4-20 11:49:02
    学习了,,好文
    使用道具 举报 回复
    发表于 2017-4-20 16:31:14

    学习了,,好文
    使用道具 举报 回复
    发表于 2017-4-20 18:00:13
    好文棒棒棒
    使用道具 举报 回复
    发表于 2017-4-21 09:31:22
    提示: 作者被禁止或删除 内容自动屏蔽
    使用道具 举报 回复
    杠杠的
    使用道具 举报 回复
    发表于 2017-4-22 11:33:33
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册