“url-all-info”浏览器恶意插件窃密木马分析
2021-12-09 12:18:05 Author: www.freebuf.com(查看原文) 阅读量:37 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

简述

在日常安全分析中发现部分网站url(url中携带token)、网站标题等会发送至外部服务器,找到对应中毒机器中进行分析,分析时发现打开所有网站都会内嵌t.032168.com和url-all-info.cn-shanghai.log.aliyuncs.com两个链接。

1638952623_61b06eaf11a528d1babe8.png!small

安全分析

恶意行为分析

1、通过以上简单分析很容易发现浏览器被恶意劫持了,浏览器劫持一般有DNS、驱动劫持、恶意插件劫持等

2、确认DNS为安全DNS,排除DNS被劫持可能。

3、使用火绒剑查看驱动,未发现恶意驱动以及驱动被篡改情况。

1638954292_61b0753461575cc9401c3.png!small?1638954293490

4、使用火绒剑分析Google浏览器加载行为,为发现异常行为。

1638954331_61b0755b032e1144287c4.png!small?1638954332234

5、查看几台中毒设备浏览器均存在插件,将插件关闭后劫持代码消失。

浏览器插件分析

1、使用Google devtools单步调试浏览器加载过程。

2、插件会判断目前访问的网站是否是淘宝、天猫,如果是就会远程加载 https://s.douytoday.cn/welist/tb/cna/tbjm.js?v=1122恶意js代码

1639017298_61b16b52344fef345db03.png!small?1639017298491

3、远程加载的代码做了16进制编码、混淆等操作,进行解密后分析该代码疑似偷换淘宝、天猫推广ID

1639017644_61b16cac63bcfdb85e255.png!small?1639017644704

4、继续运行发现该插件会推广广告,同时具有白、黑名单功能

1639018137_61b16e9931d4d6a850236.png!small?1639018137434

1639018110_61b16e7eb9bf10c46b841.png!small?1639018111133

5、继续运行发现url窃密代码,该代码也做了16进制编码、混淆,该代码会过滤政府、教育网站。会收集当前网站标题、网址、描述、关键词等信息。(如果稍作变形就可以窃取网站账户、密码等信息)

1639018675_61b170b358f545a525770.png!small?1639018675591

1639018740_61b170f4712fd613ea085.png!small?1639018740730

1639018809_61b171395ebcdcc927bff.png!small?1639018809583

6、继续调试会发现会将 https://t.032168.com/3.html?0728嵌入到网页,该网页目前只有加入了站长统计的代码。(若黑产作者继续增加窃密、推广、浏览器挖矿等功能,只需要在C2服务器加入代码即可,可以达到长期控制的目的)

1639018988_61b171ec1b5ccc34217b4.png!small?1639018988319

1639019065_61b172394cc339d41e243.png!small?1639019065616

IOC

域名描述
s.douytoday.cn淘宝、天猫推广ID偷换代码
url-all-info.cn-shanghai.log.aliyuncs.com浏览记录窃密数据存放地址
t.032168.com长期C2控制地址(目前只做站长统计)

文章来源: https://www.freebuf.com/articles/network/307992.html
如有侵权请联系:admin#unsafe.sh