简述
在日常安全分析中发现部分网站url(url中携带token)、网站标题等会发送至外部服务器,找到对应中毒机器中进行分析,分析时发现打开所有网站都会内嵌t.032168.com和url-
all-info.cn-shanghai.log.aliyuncs.com两个链接。
安全分析
恶意行为分析
1、通过以上简单分析很容易发现浏览器被恶意劫持了,浏览器劫持一般有DNS、驱动劫持、恶意插件劫持等
2、确认DNS为安全DNS,排除DNS被劫持可能。
3、使用火绒剑查看驱动,未发现恶意驱动以及驱动被篡改情况。
4、使用火绒剑分析Google浏览器加载行为,为发现异常行为。
5、查看几台中毒设备浏览器均存在插件,将插件关闭后劫持代码消失。
浏览器插件分析
1、使用Google devtools单步调试浏览器加载过程。
2、插件会判断目前访问的网站是否是淘宝、天猫,如果是就会远程加载
https://s.douytoday.cn/welist/tb/cna/tbjm.js?v=1122恶意js代码
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4y005bri-1689954350849)(https://image.3001.net/images/20211209/1639017298_61b16b52344fef345db03.png!small?1639017298491)]
3、远程加载的代码做了16进制编码、混淆等操作,进行解密后分析该代码疑似偷换淘宝、天猫推广ID
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vJDTb86k-1689954350851)(https://image.3001.net/images/20211209/1639017644_61b16cac63bcfdb85e255.png!small?1639017644704)]
4、继续运行发现该插件会推广广告,同时具有白、黑名单功能
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iMfq5aQG-1689954350852)(https://image.3001.net/images/20211209/1639018137_61b16e9931d4d6a850236.png!small?1639018137434)]
5、继续运行发现url窃密代码,该代码也做了16进制编码、混淆,该代码会过滤政府、教育网站。会收集当前网站标题、网址、描述、关键词等信息。(如果稍作变形就可以窃取网站账户、密码等信息)
6、继续调试会发现会将
https://t.032168.com/3.html?0728嵌入到网页,该网页目前只有加入了站长统计的代码。(若黑产作者继续增加窃密、推广、浏览器挖矿等功能,只需要在C2服务器加入代码即可,可以达到长期控制的目的)
IOC
| 域名 | 描述 |
|---|---|
| s.douytoday.cn | 淘宝、天猫推广ID偷换代码 |
| url-all-info.cn-shanghai.log.aliyuncs.com | 浏览记录窃密数据存放地址 |
| t.032168.com | 长期C2控制地址(目前只做站长统计) |
网络安全工程师(白帽子)企业级学习路线
第一阶段:安全基础(入门)
第二阶段:Web渗透(初级网安工程师)
第三阶段:进阶部分(中级网络安全工程师)
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
学习资源分享
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YineCGEu-1689954350868)(C:\Users\Administrator\Desktop\网络安全资料图\微信截图_20230201105953.png)]
.qq.com/s/BWb9OzaB-gVGVpkm161PMw)
学习资源分享
[外链图片转存中…(img-YineCGEu-1689954350868)]
1510
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
