摘要:一个从20几℃的大热天冬天天气变成寒冷潮湿阴天的天气,正躲在公司瑟瑟发抖的我,突然被拉进了一个应急群。某客户那边的站点,在打开某些特定页面的时候,会出现买虚拟货币的宣传视频,很明显又是黑灰产搞的鬼。目前已前场采集过来的信息如下:
0x01前言
一个从20几℃的大热天冬天天气变成寒冷潮湿阴天的天气,正躲在公司瑟瑟发抖的我,突然被拉进了一个应急群。某客户那边的站点,在打开某些特定页面的时候,会出现买虚拟货币的宣传视频,很明显又是黑灰产搞的鬼。目前已前场采集过来的信息如下:
在打开特定页面才会触发;在特定页面也无法准确复现,尝试好一会才能复现两次;前场同事使用的是iOS,然后其他人使用Android也可以复现;我使用浏览器和微信浏览器打开,难以复现;在对应服务器上未找到其音频文件;目前使用特定运营商网络可以复现;0x02分析
在获取目前这些信息后,有几个猜想思路:
在对应服务器没找到音频文件,这个其实我是可以猜到的,一般来说,比较可能的原因是站点源码被更改了,去请求外链在客户浏览器/移动端进行播放;接下来是分析恶意代码存在哪里。从目前浏览器无法复现来看,猜测可能代码存在客户端上,或者本身音频文件就在客户端资源包里面。如果真是这样,那就得逆向分析APP,这就比较麻烦了。没事,实践出真知!使用burp进行抓包,使用浏览器打开问题链接:
突然出现的提示,让我突然虎躯一震。有没有一种可能?浏览器打开之所以无法触发,是因为仅在移动端上才能生效。通过F12的功能,可以设置UA头为移动端,可以模拟手机发送请求:
果然。在burp里面发现了奇怪的mp4文件链接。
可以看到,被腾讯云拦截了。这可能也是复现为什么不好复现的原因。而在特定网络下,可以访问到这个,可能就是因为某些运营商可能没有做拦截。为了和前场同事确认是否为该文件,我使用了点技术手段,获取到此视频文件,发送给他。经确认,可以判断,即为该文件导致的。
那么接下来就是分析js的调用关系,查看怎么通过客户站点到该站点的。
0x03溯源
由于该请求的referer头是本身,那我们难以找到是哪个页面请求的。只能通过搜索查看:
成功在里面发现了该链接请求,且里面包含很多huobi的黑产链接。进一步分析链接是怎么请求来。后续在里面找到恶意链接。
那现在最后的问题就是找到与客户站点的调用关系。这也是最难的一步。为什么呢?因为不管是通过referer自动还是全局搜,都找不到链接。搜索unionxxxx字段,也没有找到其他链接。
最后实在没办法了,只能通过抓包,一步一步查看请求顺序。最后终于发现疑似链接:。分析该jquery文件,并未发现存在问题的代码,但是当我翻到最后面时,发现了问题:
图片红框部分,明显与众不同。事出反常必有妖!混淆加密的太离谱了,可读性实在是太差了。但是看着看着,好像发现了熟悉的东西。
这不就是那个恶意链接吗?当然这只是猜想,最后看下能不能得解开这些加密。试了网上的好多个js解密,没一个能用的。但是又在js里面看到了一个链接:
① 网安学习成长路径思维导图
② 60 + 网安经典常用工具包
③ 100+SRC 漏洞分析报告
④ 150 + 网安攻防实战技术电子书
⑤ 最权威 CISSP 认证考试指南 + 题库
⑥ 超 1800 页 CTF 实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP 客户端安全检测指南(安卓 + IOS)
结果不可逆!!!
后续没办法了,只能找new bing大哥帮我看看。结果,柳暗花明又一村啊!
虽然只有部分,但是够了。这样就能把所有调用关系联系起来了。
0x04结尾
该恶意链接可能是cdn站点被劫持了导致的。而这cdn链接,很多公司,乃至很多开发框架,都是使用的该链接,影响范围之大,难以想象。本来想把这个情报反馈给当地网安处理,但是在此文章写完之时,才发现,该链接已经恢复正常了,后面的加密js代码已被剔除。
来源:蚁景网安实验室
