悠悠色 [原创]色情网站的光棍节“福利”：加密式挂马玩转流氓扩充

发布日期：2024-11-09 07:58 点击次数：196

悠悠色 [原创]色情网站的光棍节“福利”：加密式挂马玩转流氓扩充

双十一前夕悠悠色，还念念着通过同城交友或是某些不成形色的网站一解只身的烦躁？别急，不妨先来望望这些网站给光棍发的“福利”！

最近，360安全中心监测到一齐网站弹窗告白挂马事件，弹出的网罗告白出现挂马，告白实质以同城交友等伪装色情吸引信息为主，通过对扫数这个词挂马膺惩的经过分析发现该挂马剧本以及膺惩负载(Payload)在通过中招者网罗时进行加密，并在终末阶段通过进行解密实施。膺惩负载致使还诓骗regsrv32实用规范实施一个.sct文献来绕过AppLocker的剧本功令。

底下就对该挂马木马进行爽气分析：

通过监控跟踪发现主要开端于外挂以及色情网站的自动掸窗告白，用户使用此类外挂自动掸出同城交友告白或浏览某些色情网站就可能触发带破绽膺惩的页面，如果此时受害者的机器莫得打相应补丁的话，就会触发相应破绽，启动下载木马并实施：

图1

图2

该页面客户镶嵌的js剧本经过如下：

小宝探花

图3

挂马代码加密经过简图：

图4

第一个页面*.96.42/index.php?id=011：

主邀功能：

每次处事器齐会生成一个立地的validate值放入表单中，这个值每次刷新取得的效果齐不一样，通过这个值当作浏览器的会话标志。

此外，膺惩者使用IE官方的HTML要求注目来进行浏览器版块判断，这种判断关于常见的前端蓄意是有用的，然而关于浏览器破绽诓骗却是漏洞的，因为不同浏览器齐会开启不同进程的兼容步地，导致漏洞的兼容性开发效果，是以不如径直判断浏览器版块好。

凭证浏览器的上述的效果，构造最终需要提交的表单数据，并进行GET提交

图5

图6

第二个页面：

GET提交的地址*.*.42/p/servlet?token=&id=49457&validate=XXXXXXXXXX

参数中有servlet，故推测有可能后台是java。

这个央求会被302重定向到另外一个页面：

*.*.43/rt/ab06add394fb469b6510973131acb870.html?id=49457

这个页面会凭证ID复返Rabbit冒昧RC4的加密后的Load代码，页面载入了特殊的两个js库文献(encrypt.min.js、tinyjs.min.js)，提供干系的对称和非对称加密算法。

图7悠悠色

解密取得的效果：

代码中会预制一个RSA公钥，然后使用立地数生成函数来生成一段字符串当作后续的对称加密密钥，并将该数据POST到处事器，此外还会动态生成一个字符串，两者拼接后当作后续通信加密的密钥。POST央求会从处事端复返这个密钥加密的破绽诓骗代码。此时会凭证汲取到的数据选项，选择使用RC4照旧Rabbit算法进行解密并实施。

图 8

破绽诓骗：最终解密实施的破绽诓骗代码不错很彰着看出是CVE-2016-0189。

图9

破绽诓骗告捷后，会诓骗regsvr32调用sct文献实施对应剧本。

（Regsvr32是Windows大喊行实用器用用于注册动态连络库文献，向系统注册控件冒昧卸载控件的大喊，以大喊行样貌运行。海外网友Casey Smith@subTee发现通过调用regsrv32实用规范实施一条大喊冒昧.sct文献有可能绕过AppLocker的剧本功令。由于该实用规范是具有微软官方签名的是以克己自无谓多说了，而且守旧TLS加密，校服重定向样貌，且不会在磁盘上留住踪影。鉴于这样多优点，挂马者当然不会错过）

regsrv32大喊行参数选项：

/s 静默实施

/n 指定不调用DllRegisterServer，此选项必须与/i共同使用

/i 调用DllInstall将它传递到可选的[cmdline]，在与 /u 共同使用时，它调用DllUnstall