Menu

2229新葡亰官网攻击路由器的恶意软件会将用户的上网访问重定向到各种恶意站点,0×02 混淆的恶意图像文件



据地方音讯社Gubernia.com广播发表,俄罗丝Khabarovsk县后生可畏政坛网址遭黑客恶意使用,访员的种类管理才具将被用来挖矿。Gubernia.com称,在开采该政坛网站的恶意软件前,恶意软件已运维了10天,且据政党告诉,该网址每一日约有600名访谈者。

0×01 前言

近些年,我们已经见到了重重关于家庭路由器遭遇攻击的通信。攻击路由器的黑心软件会将客户的上网访谈重定向到各样恶意站点,别的的攻击方式还包罗植入后门和DNS威逼。在这里些攻击中,攻击者针对家庭网络的攻击意图和指标表现得特别醒目。

在此二日的黑心软件的应用研究中,大家开掘了部分有趣的混淆JavaScript代码。此代码伪装成现在风行的插件AddThis
social
sharing的生机勃勃有的,在U奥德赛L命名约定和图像文件中选择它。恶意软件最后将网址访谈者重定向到node.additionsnp[.]top,那个网址存在着恐怕对访谈者产生勒迫的工夫骗局。这种恶意软件玄妙的潜伏了和谐,互联网管理员很难能分辨它。

2229新葡亰官网 1

0×02 混淆的恶意图像文件

恶意软件攻击流程

恶意代码嵌入在WordPress宗旨文件的结尾

本文解析了二个名称叫TROJ_VICEPASS.A的黑心软件。首先,它会伪装成网址上的二个Adobe
Flash更新文件,并错误的指导新闻报道工作者下载并设置。生龙活虎旦被实行,它将筹划连接家庭路由器,并招来网络中有着的联网设备。然后,它会使用优先希图的账号和密码尝试登陆这个联网设备,并收获敏感数据;最终,它将偷取的数据发送至远程服务器,然后将团结从Computer上删除。

wp-includes/js/jquery/ui/datepicker.min.js 

图1是该恶意软件的熏染流程图。

2229新葡亰官网 2

2229新葡亰官网 3

攻击者使用onblur函数加载恶意内容,窗口失去主题三秒后,它将利用replace函数来解密模糊的payload
U昂CoraL。 那是通过在字符串中自由地方增加0到5的数字来编码的,如下所示:

图1 恶心软件感染链

22c1n4d41.3s27-44a2d11d1t0hi4s3.0t1o2p001 

深远分析

在从字符串中除去0-5里面包车型地铁有着数字后,大家看来它从以下职务的U昂CoraL获取payload:

当访谈恶意网址时,若是这么些网址已被植入假的Flash更新文件,那么客户将很只怕碰着恶意软件TROJ_VICEPASS.A。经常状态下,网址会提议新闻报道工作者下载并安装这些Flash更新文件。

//cnd.s7-addthis[.]top 

2229新葡亰官网 4

恶意软件还大概会在字符串前增添http和附加#ad.png,从而生成PNG图像文件的URL。

图2 被植入假的Adobe Flash更新文件的站点

0×03 二个相信的假图像

2229新葡亰官网 5

该恶意软件很油滑,若是您一向去拜望PNG文件,会回来二个404页面。那很大概是攻击者基于访谈者浏览器的
user-agent字符串举行了约束访谈。我们能够运用curl工具去伪造一下,诈骗它正常的进行专业。

图3 假的Flash更新

作者能力所能达到访问假的PNG文件。它以致含有准确的头音信和魔术字节,以将文件格式标志为PNG图像:

豆蔻梢头旦恶意软件被施行,它将筹算利用四个先行思考的客商名和密码列表,通过管控台连接到路由器。即便老是成功,恶意软件会猜测扫描整个网络来搜索具有已三番五次的装置。

2229新葡亰官网 6

2229新葡亰官网 7

该公文还带有部分二进制代码,它通过浏览器渲染八个实在的图像(它看起来像八个的确的AddThisLogo卡塔尔。
那一个额外的步骤使得它更难被网址全数者识别为恶意软件:

图4 寻觅连接的道具

2229新葡亰官网 8

恶心软件应用的客户名列表:

隐身在图像文件中的恶意代码在恶意软件业务中并非如何新东西 –
我们已经见到了近几来来不相同的本事。在PNG文件的END部分之后加上的恶意代码不会损坏图像。

admin
Admin
administrator
Administrator
bbsd-client
blank
cmaker
d-link
D-Link
guest
hsa
netrangr
root
supervisor
user
webadmin
wlse

图像文件内容,带有恶意有效载荷在最终,由我们地点提到的本子拆解解析和奉行:

恶心软件使用的密码列表:

eval(y.responseText.split('###')[1]) 
_Cisco
0000
000000
1000
1111
111111
1111111
11111111
111111111
112233
1212
121212
123123
123123Aa
123321
1234
12345
123456
1234567
12345678
123456789
1234567890
1234qwer
123ewq
123qwe
131313
159753
1q2w3e4r
1q2w3e4r5t
1q2w3e4r5t6y7u8i9o0p
1qaz2wsx
2000
2112
2222
222222
232323
321123
321321
3333
4444
654321
666666
6969
7777
777777
7777777
88888888
987654
987654321
999999999
abc123
abc123
abcdef
access
adm
admin
Admin
Administrator
alpine
Amd
angel
asdfgh
attack
baseball
batman
blender
career
changeme
changeme2
Cisco
cisco
cmaker
connect
default
diamond
D-Link
dragon
ewq123
ewq321
football
gfhjkm
god
hsadb
ilove
iloveyou
internet
Internet
jesus
job
killer
klaster
letmein
link
marina
master
monkey
mustang
newpass
passwd
password
password0
password1
pepper
pnadmin
private
public
qazwsx
qwaszx
qwe123
qwe321
qweasd
qweasdzxc
qweqwe
qwerty
qwerty123
qwertyuiop
ripeop
riverhead
root
secret
secur4u
sex
shadow
sky
superman
supervisor
system
target123
the
tinkle
tivonpw
user
User
wisedb
work
zaq123wsx
zaq12wsx
zaq1wsx
zxcv
zxcvb
zxcvbn
zxcvbnm

隐敝函数用于将浏览注重定向到U奥迪Q5L:

需求提议的是,恶意软件使用HTTP公约来围观并物色联网设备,扫描的IP地址范围是192.168.[0-6].0—192.168.[0-6].11,那几个IP地址常常都会用作路由器IP地址。搜索路由器的打字与印刷日志如下所示:

hxxp://node.additionsnp[.]top/?aff=8007001 
Find router IP address – start
Searching in 192.168.0.0 – 192.168.0.11
[0] connect to 192.168. 0.0
URL: ‘192.168.0.0’, METHOD: ‘1’, DEVICE: ‘Apple’
…. (skip)
Find router IP address – end

0×04 重定向到本领棍骗

我们注意到黑心软件会检查评定苹果设备,举例HTC和三星平板,而它们设备并从未开放的HTTP端口。不过,必要注意的是,从这几个字符串能够阅览,它进一层关怀路由器。大家开采恶意软件使用以下名字寻觅路由器等设备:

此页面检查访谈者的IP地址和浏览器,使用下边包车型大巴剧本将不切合的访员重返到上大器晚成页面:

dlink
d-link
laserjet
apache
cisco
gigaset
asus
apple
iphone
ipad
logitech
samsung
xbox
window.onload=history.back() 

2229新葡亰官网 9

对此寻找引擎的user-agents(举例GooglebotState of Qatar,此页面重回404 Not Found错误。

图5 搜索苹果设备

唯独,要是访谈者在启用JavaScript的Windows上接纳浏览器,并且选取花旗国或加拿大IP,则此页面将显得带有标准本事诈欺警告的弹出窗口。这个骗子试图说性格很顽强在荆棘塞途或巨大压力面前不屈受害者,他们的Computer感染了恶心软件,并紧迫发布部分无需付费的“帮忙台”号码来扫除那些主题材料。

若是恶意软件对互连网中的设备搜索截至,它会使用base64编码和三个自定义的加密算法对寻觅结果加密。然后,通过HTTP左券将加密后的结果发送到两在那之中远间隔C&C服务器。

借使被害者呼叫那么些号码,骗子将一而再到被害者的微Computer,然后自愿清除错误日志,并删除不设有的恶心软件
– 换取几百美金。

2229新葡亰官网 10

做客受害者的微处理机也能够使骗子安装一些特别的耳目软件。
一时,骗局页面以致或许会呈请你的Windows客商名和密码(as reported in this
MalwareBytes
thread卡塔尔(قطر‎,这也许推动感染受害者的Computer。

图6 加密找寻结果

0×05 Source and Additional Domains

2229新葡亰官网 11

此恶意软件广告利用坐落于伯大连的IP地址的服务器,特别是在俄罗丝和乌Crane组织登记的80.87.205.233和185.93.185.243。

图7 发送结果到C&C服务器

咱俩开掘成更加多的网域与此恶意软件广告不知凡几相关联:

恶意软件成功发送结果现在,就从被害者Computer上自家删除,并清除它的别的踪影。攻击者使用上边包车型客车通令来兑现那个操作:

wine.industrialzz.top one.industrialzz.top web.machinerysc.top sub.contentedy.top check-work-18799.top asp.refreshmentnu.top get.resemblanceao.bid sip.discoveredzp.bid 
exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del“%s”

0×06 总结

有关文书哈希:

有诸有此类多域用于托管欺骗内容,那不啻是那几个唯利可图黑帽子的专门项目公司。这一个恶意软件被注入到WordPress核心文件,与其余代码混合,并诱骗熟谙的法定服务,以规避其轨道,使其很难被开采。

a375365f01fc765a6cf7f20b93f13364604f2605

简易找出你的网站文件和数据库去开采恶意域不会有任何功用,因为这能够十分轻松指皁为白。

狐疑:恐怕是攻击活动的“先行军”

为了急忙检查实验你的网站文件的未经授权的转移,您能够设置三个监督检查服务,将你的文本与已知的美妙状态进行比较。小编建议使用WordPress的sucuri-scanner插件,打算好对安全事件接受行动,能够令你在访谈者受到那一个诈骗加害在此以前选择行动。

轶事恶意软件的行事可预计,它恐怕只是攻击者用来收集情报的优先队伍容貌,那几个音讯很恐怕会被用来发动一场大型恶意活动。收罗来的新闻恐怕会被累积并作为现在的跨站乞请杜撰(CSOdysseyFState of Qatar等攻击,因为假诺攻击者手中已经有了特定IP的报到凭证,那么之后的攻击将变得越来越轻易。当然,我们并不十二分鲜明,可是酌量到该恶意软件的实践流程甚至行为表现,那不啻是最有极大希望发生的情景。

【编辑推荐】

安然建议

任由攻击者的最后指标是怎么着,这么些恶意软件都向大家浮现了设施安全的第意气风发,就算这一个不太可能成为指标的配备也供给关注其安全。所以,顾客应该日常校勘路由器的记名凭证,最棒设置成强密码。别的,客商还足以筛选密码管理软件来支持他们管理全数的密码。

除了这个之外好好的密码习贯,客户还应该永世记住别的的安全措施。举个例子,他们应当尽量幸免点击邮件中的不明链接。如若她们需求拜访一个站点,最棒直接输入网址或然选用贰个书签。假设她们的软件要求晋级,那么能够直接待上访谈软件的官方网站去下载。别的,也能够筛选设定软件自行安装更新。最后,客商应该利用安全措施来保卫安全他们的设施。

标签:, , , , , , , , , , , ,

发表评论

电子邮件地址不会被公开。 必填项已用*标注

相关文章

网站地图xml地图