盗版服务器发现了攻击者留下的脚本。
该脚本是用JavaScript编写的,其主要功能是将其用作Windows后门和CC服务器。
在此,我谨向所有人道歉,以保护客户的隐私。本文不提供详细信息。
脚本大小非常小,不到2 KB。唯一可以表明其存在的是名为“ wscript”的文件。
Exe说:“进程运行。这是一个合法的Windows程序。
脚本的主要部分包含一个无限的命令等待循环,该循环在将“回流”查询字符串传递给CC后休眠4个小时。
CC回调如下:
有关更多信息,我开始在各种搜索引擎和VirusTotal上寻找相关的代码片段,但令我失望的是未找到任何内容。
因此,我决定使用RecordedFuture进行搜索。
RecordedFuture扫描并分析来自数千个网站,博客和Twitter帐户的信息,以查找当前和将来的人员,组织,事件和事件之间的关联。
返回的结果与2017年12月删除的三个匹配项匹配。
缓存的数据和反向链接源有助于使用CC软件包恢复压缩文件。
该软件包有四个主要脚本(三个PHP和一个JavaScript文件)已复制到Web服务器。
Web服务器可能会受到攻击者或其他手段的破坏。
脚本的主要索引。
Php包含SVG动画,当访问者访问该页面时,将显示以下屏幕:
此脚本在将“ Backflow”传递到页面时,会将恶意JavaScript文件的内容(重命名为PNG文件)发送到受害者的PC并使用后门脚本进行评估表示
恶意脚本使用WMI获取系统信息并将其作为身份验证方法的一部分返回。
在这里,您可以看到恶意脚本正在无限循环中运行,正在等待诸如加载,下载和执行之类的命令。
“ mAuth”函数会生成一条短随机链,将其与系统信息连接起来,然后以Base64编码的cookie的形式将其传递给CC。
这些随机链非常重要,因为它们被用作标识它们之间包含的指令的标签。
数据通过AJAX返回CC。
有一个名为“ FillHeader”的函数可以填充HTTP头。
当受害者的PC验证时,这是HTTP请求的外观。
使用第二行的cookie值执行Base64解码。
在第二个符号表示系统信息之后,在链中重复进行Base64解码。
PHP脚本之一似乎是已使用HTML代码修改的模板,以使页面合法(例如,它包含实际网页的一部分)。
该脚本已重命名并建立索引。
PHP脚本参考。
该脚本具有上载和下载文件以及创建活动日志的所有功能。
日志文件包括受害者IP地址,上载和下载的文件,会话信息等。
“身份验证”功能读取受害者的cookie值,并分析用于创建系统信息和日志文件名的变量。
受害者的用户名和计算机名是MD5哈希,并用作日志文件名的一部分。
当受害者的PC连接到CC时,将在CC服务器上创建三个文件。
软件包中的最后一个PHP脚本用于与受害者的PC交互并将命令发送到受害者的PC。
考虑时区和有趣的登录方法。
您可以使用的命令非常有限,但这足以使攻击者在受害者的PC上加载功能强大的工具并获得对网络的访问权限。
最后,如果攻击者注意到将要发现它们,则可以使用此脚本中集成的其他命令集来删除所有重要的日志文件。
*来源:kahusecurity,FB小编secist的编辑,在FreeBuf中显示了它。
通讯
