مهاجمان همیشه در حال یافتن راه های منحصر به فرد برای جلوگیری از تشخیص هستند. تیم های ما مرتباً بدافزارها را در وب سایت های به خطر افتاده پیدا می کنند که از بین رفته اند تا تشخیص یا درک آن را برای وب مسترها دشوارتر کنند. انسداد می تواند اشکال مختلفی داشته باشد ، مانند رمزگذاری کد یا استفاده از الگوریتم های پیچیده برای پنهان کردن ماهیت واقعی محتوای مخرب. به عنوان مثال ، بسیاری از نمونه های بدافزار که ما تشخیص می دهیم در Base64 رمزگذاری می شوند تا صاحبان وب سایت را اشتباه بگیرند و از تشخیص فرار کنند.
اما در طی یک تحقیق اخیر ، من با استفاده از یک شکل پیچیده تر از انسداد ، در یک قطعه بدافزار نسبتاً جالب قرار گرفتم. مهاجم به جای استفاده از رمزگذاری معمولی BASE64 برای فرار از تشخیص ، در حال اضافه کردن تغییرات یک تابع PHP به پرونده های افزونه معمولی بود که HEX2DEC را از یک پرونده دوم حاوی بار شش ضلعی رمزگشایی می کرد.
بیایید نگاهی دقیق تر بیندازیم.
تغییر مسیر ناخواسته به کلاهبرداری Captcha جعلی
یک مشتری جدید شکایت می کرد که هر زمان که یک بازدید کننده سایت در هر نقطه از وب سایت خود کلیک می کرد ، یک برگه مرورگر باز می شد که قربانی را به صفحه وب اسپم زیر هدایت می کرد: hxxps: //1. GuessWhatNews [.] com/not-a-robot/index. html
Captcha جعلی برای بازدید کنندگان وب سایت هدایت شده نمایش داده می شود.
وب سایت هرزنامه در حال حل و فصل به آدرس IP https://urlscan. io/ip/45. 133. 44. 20 است که توسط یک شبکه تبلیغاتی سایه دار عمدتاً برای وب سایت های پورنو استفاده می شود.
بازرسی از صفحه وب به خطر افتاده ، تزریق مخرب JavaScript را به عنوان منبع تغییر مسیر نشان داد ، که در وب سایت به خطر افتاده به پرونده های افزونه تصادفی تزریق شده بود.
JavaScript مخرب تزریق شده به افزونه های وردپرس از طریق _inc. tmp
همانطور که معلوم است ، تیم های اصلاح ما اخیراً متوجه هجوم بلیط برای وب سایت های وردپرس شده اند که کد زیر را به افزونه های تصادفی تزریق می کنند:
این کد PHP محتویات رمزگشایی شده _inc. tmp (موجود در همان فهرست افزونه) را به بخش هدر صفحات وردپرس سایت تزریق می کند.
برای انجام این کار ، عملکرد get_hex_cache را به قلاب wp_head اضافه می کند. این قلاب فقط یک بار اضافه می شود ، حتی اگر بیش از یک افزونه آلوده شود. همچنین شایان ذکر است که بدافزار برای مدیران سایت فعال نشده است.
پرونده _inc. tmp حاوی یک توالی 51k b-long از رقم است:
این یک رشته باینری رمزگذاری شده شش ضلعی است. این بدافزار در ابتدای رشته 3C7 را اضافه می کند و با استفاده از عملکرد HEX2BIN PHP رمزگشایی می کند.
نتایج رمزگشایی شده حاوی برچسب جمع شده با کد جاوا اسکریپت است که به صفحات وردپرس تزریق می شود.
نمونه ای از اسکریپت تزریق شده
علاوه بر این ، اسکریپت شنونده ای را به رویداد کلیدی صفحه اضافه می کند. هر زمان که یک بازدید کننده سایت روی هر لینک کلیک می کند ، پیوند به hxxps را تغییر می دهد: // 1. GuessWhatNews [.] com /not-a-Robot/index. html؟var=siteid& ymid=clickid& rc=0& mrc=0& fsc=0& zoneid=1947429& tbz=1947431
فرار از تشخیص از ابزارهای dev
برای پنهان کردن فعالیت مخرب از چشمان کنجکاو ، اسکریپت در صورت تشخیص ابزارهای توسعه دهنده باز کاری انجام نمی دهد. ما این رفتار را اغلب در بدافزار Magecart دیده ایم ، اما این اسکریپت از یک رویکرد پیچیده تر برای تشخیص ابزارهای DEV استفاده می کند که به روشهای جایگزین متکی است.
در اینجا لیستی از برخی از نامهای عملکردی که این بدافزار برای انجام این چک ها استفاده می کند آورده شده است:
- checkbyimagemethod
- checkdevbyscreenresize
- صفحه نمایش
- CheckByFireBugMethod
- checkbyprofilemethod
هر وقت بدافزار تشخیص داد که ابزارهای DEV فعال هستند ، تغییر مسیر رخ نمی دهد و رفتار مخرب هنگام بازرسی بسیار سخت تر است.
مراحل کاهش
توقیف می تواند برای صاحبان وب سایت برای تشخیص یا مشخص کردن منبع رفتار مخرب در وب سایت خود به چالش کشیده شود. خوشبختانه تعدادی از ابزارهای رایگان و پرداخت شده برای کمک به نظارت بر شاخص های سازش وجود دارد.
بیایید نگاهی به برخی از راه هایی که می توانید خطر ابتلا به عفونت برای وب سایت خود را کاهش دهید ، نگاهی بیندازیم.
-
به طور مرتب و مراقب عفونت ها در سطح مشتری و سرور باشید.
- آخرین به روزرسانی ها و تکه های نرم افزاری را برای وب سایت خود به محض در دسترس بودن نصب کنید. این شامل CM های اصلی ، افزونه ها ، مضامین و سایر مؤلفه های قابل توسعه است.
- از یک فایروال برنامه وب استفاده کنید تا تقریباً آسیب پذیری های شناخته شده شناخته شده ، ربات های بد را مسدود کرده و حملات نیروی بی رحمانه را کاهش دهید. با محدود کردن دسترسی به صفحات مدیر و استفاده از رمزهای عبور قوی و منحصر به فرد برای همه حساب های وب سایت شما.
- برای تشخیص هرگونه تغییر غیر منتظره در محیط خود ، از نظارت یکپارچگی فایل استفاده کنید.
و اگر فکر می کنید وب سایت شما به این بدافزار آلوده شده است ، ما می توانیم کمک کنیم! برای کمک 24/7 با حذف بدافزار وب سایت به تیم پشتیبانی ما مراجعه کنید.
درباره الی Trevino
الی ترووینو یک تحلیلگر امنیت وب سایت است که در سال 2019 پیوست. مسئولیت های اصلی الی شامل یافتن و حذف کد مخرب از وب سایت های آلوده است. تجربه حرفه ای وی بیش از 3 سال را در بر می گیرد. هنگامی که او در حال تجزیه و تحلیل کد برای بدافزار نیست ، ممکن است الی پخت و پز را پیدا کنید یا از خانواده اش لذت ببرید.
تعامل خواننده
نوار کناری اصلی
معاشرت با Sucuri
ما به طور فعال در چندین سیستم عامل درگیر هستیم. ما را دنبال کنید و بیایید به هم وصل شویم!
