DIY装机联盟-电脑故障排除|装机指南|硬件配置|电脑知识

DIY装机联盟-电脑故障排除|装机指南|硬件配置|电脑知识

http://www.jinanshengke.com

菜单导航

隐藏在浏览器背后的“黑手”

作者: 庄吉 发布时间: 2021年01月10日 04:41:23

作者:陶琦 笔者具有多年信息安全行业从业经验,目前在美团致力于研发安全体系建设。

一、事件概述

2020年10月,美团安全运营平台发现流量中存在恶意JavaScript请求,信息安全部收到告警后立即开始应急处理,通过对网络环境、访问日志等进行排查,最终锁定恶意请求由Chrome浏览器安装恶意插件引起,该恶意JavaScript文件会窃取Cookie并强制用户跳转到恶意色情站点、推广链接等,结合美团威胁情报大数据,发现该插件与Lnkr Ad Injector木马特征吻合。

此类木马传播方式多样,会通过浏览器插件、Broken Link Hijacking等方式在页面中植入恶意代码,不仅严重影响用户正常访问还会窃取用户数据。经追踪分析发现,多个国内大型互联网站点(Alexa全球排名前600)被感染,影响上亿网民的上网安全,建议各大平台对自身系统第三方加载源以及内部终端设备进行检查,避免遭受此类木马攻击。

二、溯源过程 2.1 安全运营平台发出异常告警

Chrome沙箱监测到恶意JavaScript文件,发出异常告警:

隐藏在浏览器背后的“黑手”

通过告警信息判断基本的攻击行为是:

用户访问正常页面;

页面加载外部JavaScript文件(A):;

A加载第二个JavaScript文件(B):;

B包含恶意代码,向远程域名发送Cookie等敏感信息。

2.2  分析攻击路径

根据告警中涉及的触发页面、相关网络环境信息,排除流量劫持、XSS攻击等情况,猜测可能的原因为浏览器插件或恶意软件导致。

通过沙箱对问题设备上所有Chrome插件进行分析,发现一个名为Vysor的Chrome插件代码存在恶意行为,检测结果如下:

{ "call_window_location": { "info": "get document.location", "capture": [] }, "call_document_createElement": { "info": "call document.createElement, create script element", "capture": ["create element elementName:FIELDSET", "create element elementName:FIELDSET", "create element elementName:FIELDSET", "create element elementName:FIELDSET", "create element elementName:FIELDSET", "create element elementName:INPUT", "create element elementName:FIELDSET", "create element elementName:FIELDSET", "create element elementName:FIELDSET", "create element elementName:FIELDSET", "create element elementName:FIELDSET", "create element elementName:SCRIPT", "create element elementName:LINK"] }, "call_document_removeChild": { "info": "call document.removeChild", "capture": ["remove element {elementName:fieldset}", "remove element {elementName:fieldset}", "remove element {elementName:fieldset}"] }, "set_scriptSrcValue": { "info": "set script src unsafe value", "capture": ["//s3.amazonaws.com/js-static/18ced489204f8ff908.js"] } }

可以看到插件代码创建了script标签,然后将script标签的src属性设置为:

//s3.amazonaws.com/js-static/18ced489204f8ff908.js。

2.3  插件恶意代码分析

为了进一步研究该组织木马的特征,我们对该恶意插件的代码进行了人工分析。恶意插件的代码量较大,结构混乱,包含大量干扰代码。

首先恶意代码预先设置了许多无明显意义的字符串,用于构造Payload。

隐藏在浏览器背后的“黑手”

这些字符串通过下面方法的一系列转换最终构造出创建script标签的语句 document[‘createElement’](‘script’),doctype即为创建出来的script对象。

隐藏在浏览器背后的“黑手”

本文地址:http://www.jinanshengke.com/wlzs/62930.html

请遵守互联网相关规定,不要发布广告和违法内容