Balada Injector仍然利用新技术逍遥法外
Balada仍然通过利用新域名和新混淆来逃避安全软件。
在例行的网络监控操作中,我们发现了一个地址,该地址引导我们陷入了由 Balada Injector 恶意软件引起的、面向 WordPress 的“黑客浪潮”的兔子洞。这一证据表明,该恶意软件仍然逍遥法外,并且仍然通过利用新域名和混淆攻击浪潮之间的细微变化来逃避安全软件。
Ballada Injector的工作原理
这一发现之后的研究起点是一个地址为spatialreality[.]com的网站,该网站在常规网络监控期间出现。该地址指向一个似乎由 WordPress 驱动的网站,该网站在访问时将 PHP 文件下载到用户的计算机上,而不是提供登陆页面。
虽然 PHP 文件通常由网站后端处理,但这次由于其中的语法错误而被下载。这向我们揭示了注入的漏洞代码,负责远程访问受感染的计算机和基于重定向的恶意广告方案控制。在该文件中,有七个 PHP 标签括号,每个括号中都包含一段混淆的代码。
PHP 标签堆叠在一起,网站的合法代码位于最底部。因此,如果语法正确,它就会在为实际访问的网站提供服务之前运行恶意代码。
经过进一步检查,我们能够确定我们正在调查的最初网站已经容易受到一个或多个恶意软件操作者的至少七波自动攻击,并且在被调查的文件中有四种不同的有效负载,每个有效负载都是通过成功利用漏洞。
在研究过程中,我们成功地反混淆并检查了一些 PHP 有效负载,这些负载揭示了新生成的命令和控制端点的 URL 以及操作方案中使用的后续混淆的 JavaScript 文件。
从恶意 PHP 和 JavaScript 代码块中提取 URL 列表后,我们通过在 PublicWWW 搜索引擎上使用特制查询来查找代码中存在已发现危害迹象的网站数量,以便更清楚地了解攻击的传播情况。
要点
- Balada 注入器是一个已知从 2017 年至今活跃的恶意软件家族。它采用多种攻击媒介和持久性机制。例如,在研究的案例中,我们注意到针对易受攻击的 WordPress 网站的七次自动攻击波的可能结果,每次攻击都会将一段恶意 PHP 代码直接添加到受感染网站的索引文件中,该代码在被访问时执行恶意脚本。对我们来说幸运的是,自动攻击浪潮似乎缺乏评估网站之前是否已被破坏的功能。这会导致以下情况:下载文件而不是包含注入的有效负载,而不是执行攻击者注入的恶意代码。
- 本次调查期间研究的注入 PHP 代码块的每次迭代都是在前一个迭代之上注入的,并且似乎负责两个操作。第一,如果满足特定条件,则将用 JavaScript 编写的脚本部署到为每个站点访问者呈现的文档中。第二,在受感染的网站内打开后门以进行进一步利用,然后可以通过专门设计的查询远程访问该后门。
- 我们发现以下 URL 被访问以将恶意 JavaScript 加载到被利用的网站上:
- https[:]//get[.]sortyellowapples[.]com/scripts/get[.]js?v=7.5;
- https[:]//step[.]firstblackphase[.]com/scripts/source[.]js;
- https[:]//for[.]firstblackphase[.]com/trbbbbb0;
- https[:]//stock[.]statisticline[.]com/scripts/trick[.]js;
- https[:]//block[.]descriptionscripts[.]com/scripts/step[.]js?v=1.0.3
- 上面引用的脚本请求从其他地址执行后续脚本。这些脚本不仅负责导致网站重定向(导致威胁行为者在信誉有问题的网站上获得金钱收益),而且还能够在最终用户的设备上读取和写入 cookie。此外,他们还试图跟踪用户并在最终用户的设备上安装恶意扩展或其他软件。
- 通过先前列出的描述脚本[.]com地址加载的脚本随后从以下URL加载其他脚本:
- https[:]//block[.]descriptionscripts[.]com/main[.]js;
- https[:]//fire[.]descriptionscripts[.]com/get[.]php?wid=215315&sid=32463463&gid=24563463
- 通过 sortyellowapples[.]com 地址加载的脚本随后尝试加载以下 URL:
- https[:]//stats[.]statisticline[.]com/Y1hjNr?&se_referrer=&default_keyword=&&_cid=d4781ca6-febb-b55e-c21a-3eadeb9b0105
- 所调查的地址之一 (descriptionscripts[.]com) 也可以通过浏览器访问,并且有一个登陆页面。虽然登陆页面表明网站正在开发中,但它是威胁行为者的另一个攻击媒介。乍一看,该网站并不显得特别或重要。另一方面,对网络选项卡的检查表明它正在通过 favicon.ico 文件将 JavaScript 加载到用户的浏览器上。通常,这会导致用户浏览器中的像素化图片,并由浏览器自动查询,但在这种情况下,它会提供一个恶意 JavaScript 文件,其代码与注入受感染网站的代码相同。
- 当使用恶意脚本 URL 进行查询时,PublicWWW 报告了以下统计信息:
- https[:]//get[.]sortyellowapples[.]com/scripts/get[.]js?v=7.5 – 334 个站点
- https[:]//step[.]firstblackphase[.]com/scripts/source[.]js – 821 个站点
- https[:]//for[.]firstblackphase[.]com/trbbbbb0 – 959 个站点
- https[:]//stock[.]statisticline[.]com/scripts/trick[.]js – 1413 个站点
- https[:]//block[.]descriptionscripts[.]com/scripts/step[.]js?v=1.0.3 – 312 个站点
- 攻击者似乎使用了通过允许匿名购买的提供商购买的随机生成的域名。当旧的病毒被检测到并被标记为恶意时,他们也会不断地切换它们。恶意软件运营商还利用乌克兰和德国等托管脚本的国家的各种托管提供商租用的“虚拟专用服务器”和“共享托管”服务。某些具体指标表明,攻击涉及的所有域和子域都与同一威胁参与者相关。其中一些域在脚本执行阶段是互连的,因为它们相互调用。此外,其中一些表现出类似的混淆和利用方法,表明它们之间存在相互关联。此外,
| 更新 | 模块 | 来源 | 数据 |
| 2023-06-13 07:08:04 | sfp_ssl证书 | get.sortyellowapples.com | back.firstblackphase.com |
| 2023-06-13 07:08:29 | sfp_ssl证书 | 162.55.76.206 | back.firstblackphase.com |
| 2023-06-13 07:08:51 | sfp_ssl证书 | static.206.76.55.162.clients.your-server.de | back.firstblackphase.com |
对网络用户的意义
Balada Injector 对 Web 用户构成严重威胁,因为它影响基于 WordPress 的网站的易受攻击版本(基于 WordPress 的网站几乎占所有已知网站的 43%)。正如 Sucuri 在下面链接的文章中所述,该恶意软件家族自 2017 年以来一直在运行,并且仍然逍遥法外。
- https://blog.sucuri.net/2023/04/balada-injector-synopsis-of-a-massive-ongoing-wordpress-malware-campaign.html
- https://cybernews.com/security/wordpress-malware-epidemic-balada-injector/
这项研究揭示了用于托管 Balada Injector 恶意 JavaScript 负载的新域名,这些域名并未被报告,并且目前仍然如此。这些文章解释了恶意软件自动攻击行为的各种怪癖。
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/7728.html
