365bet客户端_bet36投注备用网站

365bet客户端_bet36投注备用网站

当前位置:主页 > 日博娱乐 >

JavaScript后门的深度分析,大小小于2 KB

来源: 在线365bet盘口 作者: 最佳娱乐365bet 发布时间:2019-04-07
我发现攻击者在盗版服务器上留下了一个脚本。
这个脚本是用JavaScript编写的,它的主要功能是将它用作Windows后门和CC后端。
在这里我想道歉,所有的人,为了保护客户的隐私,我不会详细描述或某些本文中讨论。
脚本的大小非常小,小于2 KB。唯一可以表明它存在的是一个名为“wscript”的文件。
Exe运行该过程。这是一个合法的Windows程序。
该脚本的主要部分包含一个无限循环的命令,等待将查询字符串“reflow”传递给CC后等待4个小时。
CC回调如下。
欲了解更多信息,我开始寻找一个与各种搜索引擎和VirusTotal的相关的代码片段,我感到失望的是你没有发现任何东西。
因此,我决定使用RecordedFuture帮助找到它。
RecordedFuture是,成千上万的网站,博客,以及通过分析扫描的信息Twitter账户,个人,组织,你可以找到的事件,以及当前和事件的未来之间的相关性。
将2017年12月淘汰的3场比赛与返回的结果相匹配。
缓存数据和链接源帮助我使用CC包恢复压缩文件。
在包中,有四个主要脚本(三个PHP文件和一个JavaScript文件)被复制到Web服务器。
Web服务器可能会受到攻击者和其他方式的攻击。
主脚本索引。
Php包含SVG动画,当访问者访问该页面时,将显示以下屏幕。
此脚本显示当页面被“重排”时,恶意JavaScript文件(名为PNG)的内容将发送到受害者的PC并通过后门脚本进行评估你。
恶意脚本使用WMI获取系统信息,并将其作为身份验证方法的一部分发回。
在这里我们可以看到恶意脚本在无限循环中执行,等待上传,下载,执行等命令。
“毛特”函数生成一个短随机串,并通过他们在与所述系统信息发送到CC在Base64编码饼干结合。
这些随机字符串很重要,因为它们用作标签来标识它们之间包含的指令。
数据通过AJAX返回CC。
有一个名为“FillHeader”的函数来填充HTTP标头。
当受害者的PC检查时,这是HTTP请求的外观。
对第二行cookie值执行Base64解码。
在第二个符号表示系统信息之后,重复链中的Base64解码。
一个PHP脚本的是,已在HTML代码被更改,以使它看起来合法的页面(例如,包含实际网页的一部分)的模板。
该脚本已重命名并编入索引。
PHP脚本参考
此脚本具有上载和下载文件以及创建活动记录的所有功能。
日志文件包括受害者的IP地址,上载和下载的文件,会话信息等。
“身份验证”功能读取受害者的cookie值,分析系统信息以及用于创建日志文件名的变量。
用户名和受害者的计算机名称是MD5哈希值,用作日志文件名的一部分。
当受害者PC连接到CC时,在CC服务器上创建三个文件。
包中的最后一个PHP脚本用于与受害PC进行交互并将命令发送到受害PC。
考虑时区和有趣的登录方法。
可用的命令是非常有限的,但是这足以提高对网络的访问和攻击者到受害者的电脑加载功能强大的工具。
最后,如果攻击者注意到他即将被发现,他可以使用此脚本中包含的另一组命令删除所有重要的日志文件。
*参考资料来源:kahusecurity,编辑FB小编secist,用FreeBuf显示。
COM

责任编辑:最佳娱乐365bet

最新文章

热门文章

资讯排行

bet36365备用投注

返回顶部