Pastebin Hacking新姿态:运用jQuery替换进行歹意软件传达
跟着各种网络技能不断发展,黑客关于网站进犯也总是不断改换战略以及通过相互之间的交流来改善进犯技能。而事实上就现在网站安全方面,面对的应战首要也正是来自于进犯技能不断的演进,使得防护也需不断晋级。在之前也发布过《歹意软件新玩法:藏匿在Pastebin上的后门》,而这一次,咱们将展现一种新的进犯办法,是通过结合上述的技能,运用假造的jquery Pastebin文件来进行歹意软件传达。
FreeBuf百科:Pastebin
Pastebin,官网地址为http://pastebin.com,在PasteBin上的能够将代码、文本进行张贴并存储好,比方在Paste文本框内贴好文本、代码,并挑选类型,比方截图中的css,再点击submit,就会主动上传并取得共享地址。通过这种方法,咱们能够很好地进行代码或许其他文本的共享。
歹意链接的发现
早在几个星期之前,SuCuri安全团队通过SiteCheck开端检测扫描WordPress的站点,但在通过逆向分析某个WordPress网站的/wp-includes/js/jquery/jquery.js以及/wp-includes/js/jquery/jquery-migrate.min.js文件中的JavaScript代码时发现,呈现某些不属于原始文件的代码,咱们能够在下面检测到受感染的jquery文件的截图中看到,相应的URL其实是被写在 payload里边的。
从上面的分析成果来看(其间 war/moc.nibetsap//:ptth反过来过来的网址是http://pastebin.com/raw),上述的两个文件被注入了从 Pastebin加载进来的歹意脚本。在之前,咱们在infected Magento sites的事例中也有了解到相似的进犯方法。那么,从某种程度上来说,这两个进犯事例是相相关的。不过,这个WordPress的感染方法愈加风趣,所以也让咱们细心看看从前检测到的Pastebin链接。
成对呈现的Paste
jquery.js 和 jquery-migrate.min.js这两个文件是WordPress的中心文件。一般来说,黑客在取得拜访网站的拜访权限后,有时会挑选将上述文件的内容替换成歹意代码,完成跨站进犯。
在这个事例中,咱们能够发现,
1、进犯者向 jquery.js文件嵌入的歹意脚本是从以下网址加载的(成对呈现),
hxxp://pastebin .com/raw/HC90NJsp
hxxp://pastebin .com/raw/dWe3gcb5 (or hxxp://pastebin .com/sE8cX1Pi)
2、向jquery-migrate.min.js文件嵌入的歹意脚本则是通过以下网址加载的,
hxxp://pastebin .com/raw/WMMc4sS8
hxxp://pastebin .com/raw/rDiH4Bjy
现在咱们关于这些成对的Pastebin链接或许会发生一些问题。
1、为什么进犯者会注入两个脚本?
2、为什么进犯者会将合法代码从WordPress的中心文件中移除?
3、它不会对被感染的网站形成损坏么?
以上的问题咱们将在下面通过分析来找到答案。
链接中的 Pastebin内容
让咱们先分析下每对 Pastebin链接的内容,
HC90NJsp 实际上是jQuery (v1.11.3)的原始源码,它相对应的链接,dWe3gcb5却是一个歹意脚本,会将拜访者重定向到hxxps://goo .gl/54Miz5
相同的, WMMc4sS8是 jQuery Migrate库的原始脚本,它相对应的链接rDiH4Bjy也是一个歹意脚本,会将拜访者重定向到hxxps://goo .gl/54Miz5或许 hxxp://get .adobe.com .flashplayer .frogsland .com/flashplayer_20ga/上
那现在咱们了解了,在此事例中,黑客获取拜访权限后,会将jQuery库文件移除,而在每一个感染 WordPress jQuery文件的脚本中,第一个感染的Pastebin脚本是用于弥补此前移除的 jQuery原始代码,而第二个脚本则用于植入歹意程序。
现在尚不清楚为何进犯者要先移除现有的代码,再从Pastebin加载进去。比较有或许的是,这样会使得歹意程序的感染以及二次感染更简单。进犯者在施行进犯时仍是需求查看是否 .js文件现已感染成功,而通过将悉数代码都替换,来保证歹意程序的成功感染。由于jQuery代码被嵌入到进犯的脚本中的话,会导致进犯脚本会适当长,所以进犯者想到了通过将 jQuery库文件保存在 Pastebin上,然后只供给一个额定的调用。
Pastebin用户信息
通过对pastebin上的paste内容的追寻,咱们发现,上述调用的paste所属的用户并不是匿名的,有两个用户是跟它有相关的。
Emonostin –材料显现该用户创建于2019年12月2日
Jstoolshope – 材料显现该用户则创建于2019年12月17日
再通过研讨发现,两个用户都只要两个paste, 而其间Emonostin的pastes是用于加载到 jquery-migrate.min.js文件中,而Jstoolshope的pastes是用于加载到 jquery.js文件的。
那么到这儿,咱们也会发生疑问,为什么进犯者会挑选运用通过注册的用户账户来进行文件的加载。首要,由于这样会显得更灵敏,进犯者能够针对自己的pastes内容进行随时替换。比方,假如黑客需求重定向URL,那么就能够直接在paste里边的代码做。下图为歹意程序在pastebin.com上的修正时刻,
其实在Pastebin上,针对每一个paste 也供给了关于阅读次数的计算信息。咱们看到,jquery.js 的两个paste的阅读次数均为20,000+,而 jquery-migrate.min.js的两个相关的paste则有挨近 40,000的阅读量。乍一看,这种状况好像又很合乎逻辑,上述说到的两个成对的paste阅读量都是挨近的。到这儿,咱们也会猜想,是不是植入歹意程序的.js脚本在paste有阅读记载的一起也会被下载。可是,从 pastebin FAQ社区的回复说,关于Pastebin上paste的阅读计算量,并不仅仅只是针对paste下载的次数。所以从Pastebin的计数数据来看,并不能精确评价进犯的次数。但为了获取愈加牢靠的计算数据,咱们能够看goo.gl的重定向状况。
[1] [2] 黑客接单网
