亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何分析攻擊者遺留的JavaScript后門腳本

發布時間:2021-11-18 14:34:38 來源:億速云 閱讀:172 作者:柒染 欄目:網絡管理

這篇文章給大家介紹如何分析攻擊者遺留的JavaScript后門腳本,內容非常詳細,感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。

在一臺被入侵的服務器上,我們發現了一個攻擊者遺留下來的腳本。該腳本是由JavaScript編寫的,主要功能是作為Windows后門及C&C后端使用。在這里我首先要向大家說聲抱歉,為了保護客戶的隱私,我不會對一些細節做太多的探討和描述。

該腳本的體積非常的小只有不到2KB,唯一能表明它的存在的是一個名為“wscript.exe”的運行進程,這是一個合法的Windows程序。腳本的主要部分包含一個無限循環的命令等待,在將查詢字符串“reflow”傳遞給C&C 之后,它會休眠4個小時。

如何分析攻擊者遺留的JavaScript后門腳本

C&C的回調如下所示:

如何分析攻擊者遺留的JavaScript后門腳本

為了獲取更多的信息,我開始在各種搜索引擎和VirusTotal中搜索相關的代碼段,但令我失望的是我什么也沒發現。因此,我決定使用Recorded Future來幫助我尋找。Recorded Future可以通過掃描并分析成千上萬網站、博客、twitter帳戶的信息來找到目前和未來人們、組織、活動和事件之間的關聯性。

 在返回結果中匹配了三個在2017年12月刪除的匹配項。緩存的數據和鏈接回的源幫助我用C&C包恢復了壓縮文件。

如何分析攻擊者遺留的JavaScript后門腳本

在軟件包中有四個主要腳本(3個PHP和1個JavaScript文件)被復制到Web服務器。web服務器可能受到攻擊者控制或受到其它手段的危害。其中的主要腳本index.php包含了一個SVG動畫,當訪問者碰巧訪問該頁面后,會看到如下畫面。

如何分析攻擊者遺留的JavaScript后門腳本

該腳本顯示,當“reflow”傳遞到頁面時,惡意JavaScript文件(被重命名為一個PNG文件)的內容將被發送到受害者PC,并通過后門腳本進行評估。惡意腳本會通過WMI來獲取系統信息,然后將該信息作為其身份驗證方法的一部分發回。

在這里我們可以看到,該惡意腳本被無限循環運行,等待上傳,下載和執行等命令。

如何分析攻擊者遺留的JavaScript后門腳本

“mAuth”函數會生成短隨機字符串,并將它們與系統信息連接起來,并在Base64編碼后的Cookie中將其傳遞給C&C。這些隨機字符串很重要,因為它們被用作標記來識別包含在它們之間的指令。

如何分析攻擊者遺留的JavaScript后門腳本

數據通過AJAX回傳給C&C。這里有一個名為“FillHeader”的函數用來填充HTTP頭。

如何分析攻擊者遺留的JavaScript后門腳本

以下是當受害者PC檢查時HTTP請求的樣子:

如何分析攻擊者遺留的JavaScript后門腳本

對cookie值執行Base64解碼結果在第二行。在第二個符號顯示系統信息后,重復字符串上的Base64解碼。

如何分析攻擊者遺留的JavaScript后門腳本

其中的一個PHP腳本似乎是一個模板,被使用HTML代碼修改以使頁面看起來合法(例如,它包含實際網頁的一部分)。該腳本被重命名并由index.php腳本引用。該腳本具有負責上傳和下載文件以及創建活動日志的所有功能。日志文件包括受害者的IP地址,上傳和下載的文件,會話信息等。

“Authentication”函數讀取來自受害者的cookie值并解析出系統信息,以及定義用于創建日志文件名的變量。受害者的用戶名和計算機名稱為MD5哈希,并被作為日志文件名稱的一部分使用。當受害者PC連接到C&C時,會在C&C服務器上創建三個文件:

如何分析攻擊者遺留的JavaScript后門腳本

包中的最后一個PHP腳本用于與受害PC進行交互,并將命令發送給受害PC。請注意timezone和有趣的login方法。

如何分析攻擊者遺留的JavaScript后門腳本

可用的命令非常有限,但這已經足以讓攻擊者將更多更強大的工具上傳到受害者的PC上,并獲取更進一步的網絡訪問權限。最后,如果攻擊者意識到他們即將被發現,他們可以使用此腳本中內置的另一組命令,來刪除所有重要的日志文件。

關于如何分析攻擊者遺留的JavaScript后門腳本就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

武宁县| 云梦县| 清水河县| 怀安县| 库车县| 兴城市| 内乡县| 扎鲁特旗| 新巴尔虎右旗| 阜阳市| 左贡县| 邵武市| 高平市| 桃江县| 滦南县| 望城县| 阿巴嘎旗| 晴隆县| 内丘县| 南陵县| 剑河县| 桐城市| 遂昌县| 乳山市| 大姚县| 龙胜| 吴忠市| 巩留县| 南木林县| 万宁市| 衡山县| 自贡市| 望谟县| 华安县| 香河县| 遵化市| 浪卡子县| 新蔡县| 灵丘县| 綦江县| 五原县|