Tấn công các trang web sử dụng HTTPS bằng thư mục ẩn well-know

WordPress và Joomla là một trong những Hệ thống quản lý nội dung (CMS) phổ biến nhất. Chúng cũng trở nên phổ biến đối với các tác nhân độc hại, vì tội phạm mạng nhắm vào các trang web trên các nền tảng này để hack và tiêm nội dung độc hại. Trong vài tuần qua, các nhà nghiên cứu của ThreatLabZ đã phát hiện ra một số trang web WordPress và Joomla đang phục vụ ransomware Shadow / Troldesh, backreen, redirector và một loạt các trang lừa đảo. Các mối đe dọa nổi tiếng nhất đối với các trang web CMS là kết quả của các lỗ hổng được giới thiệu bởi các plugin, chủ đề và tiện ích mở rộng.

Trong blog này, chúng tôi đang tập trung vào các trang ransomware và lừa đảo của Shadow / Troldesh mà chúng tôi đã phát hiện tháng trước từ hàng trăm trang web CMS bị xâm nhập. Shadow ransomware đã hoạt động khá tích cực và chúng ta đã thấy một số trang web WordPress và Joomla bị xâm phạm đang được sử dụng để truyền bá ransomware.

Các trang web WordPress bị xâm nhập mà chúng tôi đã thấy đang sử dụng các phiên bản 4.8.9 đến 5.1.1 và chúng sử dụng các chứng chỉ SSL do các cơ quan chứng nhận tự động (ACME) cấp bằng chứng chỉ môi trường, như Let Encrypt, GlobalSign, cPanel và DigiCert, . Các trang web WordPress bị xâm nhập này có thể có các plugin / chủ đề CMS lỗi thời hoặc phần mềm phía máy chủ có khả năng cũng là lý do cho sự thỏa hiệp.

Hình 1: Lượt truy cập của  Shade và phishing trong các trang web CMS được phát hiện

Trong đó tháng trước hệ thống cũng đã ngăn chặn các giao dịch xâm phạm WordPress và Joomla do tải trọng của ransomware (13,6%) và các trang lừa đảo (27,6%), với các khối còn lại do coinminers, phần mềm quảng cáo và chuyển hướng độc hại.

Hệ thống đã theo dõi các trang web HTTPS bị xâm nhập trong một vài tuần và nhận thấy rằng những kẻ tấn công đang ủng hộ một thư mục ẩn nổi tiếng có trên trang web HTTPS để lưu trữ và phân phối các trang ransomware và lừa đảo của Shadow.

Thư mục /.well- Unknown / trong trang web ẩn là tiền tố URI cho các vị trí nổi tiếng được xác định bởi IETF và thường được sử dụng để chứng minh quyền sở hữu của một tên miền. Các quản trị viên của các trang web HTTPS sử dụng ACME để quản lý chứng chỉ SSL đặt một mã thông báo duy nhất bên trong các thư mục /.well- Unknown / acme-challenge / hoặc /.well- Unknown / pki-validation / để hiển thị cho cơ quan cấp chứng chỉ (CA) rằng họ kiểm soát tên miền. CA sẽ gửi cho họ mã cụ thể cho một trang HTML phải nằm trong thư mục cụ thể này. CA sau đó sẽ quét mã này để xác thực tên miền.

Những kẻ tấn công sử dụng các vị trí này để ẩn phần mềm độc hại và các trang lừa đảo khỏi quản trị viên. Chiến thuật này có hiệu quả vì thư mục này đã có mặt trên hầu hết các trang web HTTPS và bị ẩn, điều này làm tăng tuổi thọ của nội dung độc hại / lừa đảo trên trang web bị xâm nhập.

Các loại mối đe dọa khác nhau được tìm thấy trong thư mục ẩn trong tháng qua được hiển thị trong hình dưới đây.

Hình 2: Các mối đe dọa trong thư mục ẩn

Hình 3: Phần mềm ransomware so với các trang lừa đảo trong thư mục ẩn

 

Trường hợp I: Ransomware Shade/Troldesh trong  thư mục ẩn

Biểu đồ dưới đây cho thấy phần mềm ransomware của Shadow / Troldesh trong thư mục ẩn mà chúng tôi đã phát hiện tháng trước.

Hình 4: Lượt truy cập ransomware của Shadow / Troldesh trong hơn một tháng

Trong trường hợp của ransomware Shadow / Troldesh, mọi trang web bị xâm nhập đều có ba loại tệp: HTML, ZIP và EXE (.jpg), như được hiển thị bên dưới.

Hình 5: Shade trong thư mục xác nhận SSL ẩn

inst.htm và thn.htm là các tệp HTML chuyển hướng để tải xuống các tệp ZIP.
reso.zip , rolf.zip và Stroi -invest.zip là các tệp ZIP chứa tệp JavaScript.
dir.jpg và msges.jpg là các tệp EXE là phần mềm ransomware.

Hình 6: Chuỗi bị dính shade

Troldesh thường được lan truyền bởi malspam với tệp đính kèm ZIP hoặc liên kết đến trang chuyển hướng HTML, tải xuống tệp ZIP. Malspam giả vờ là một bản cập nhật đơn hàng đến từ một tổ chức của Nga. Một ví dụ về một email có liên kết của trình chuyển hướng HTML được hiển thị bên dưới.

Hình: 7 thư Malspam

Hình 8: Redirector để tải xuống ZIP

Tệp ZIP chỉ chứa tệp JavaScript có tên tiếng Nga. JavaScript rất khó hiểu và các chuỗi được mã hóa được giải mã khi chạy bằng hàm bên dưới.

Hình 9: Chức năng giải mã

Sau khi giải mã, JavaScript có các chức năng được hiển thị bên dưới. Nó cố gắng kết nối một trong hai URL, tải trọng tải theo% TEMP% và thực thi nó.

Hình 10: Mã JavaScript đơn giản hóa

Tải trọng được tải xuống là biến thể mới của ransomware Shadow / Troldesh, xuất hiện từ năm 2014. Nó có hai lớp đóng gói: tùy chỉnh và UPX. Sau khi giải nén, nó sẽ lưu các cấu hình của nó trong phiên bản HKEY_LOCAL_MACHINE \ SOFTWARE \ System32 \ Cấu hình.

Hình 11: Cấu hình bóng

xcnt = Đếm các tệp được mã hóa
xi = ID của máy bị nhiễm
xpk = Khóa công khai RSA để mã hóa
xVersion = Phiên bản của ransomware bóng râm hiện tại

Máy chủ chỉ huy và kiểm soát (C & C) là a4ad4ip2xzclh6fd[.]onion . Nó thả một máy khách TOR trong% TEMP% để kết nối với máy chủ C & C của nó. Đối với mỗi tệp, nội dung tệp và tên tệp được mã hóa bằng AES-256 ở chế độ CBC với hai khóa khác nhau. Sau khi mã hóa, nó thay đổi tên tệp thành BASE64 (AES (file_name)). ID_of_infected_machine.crypted000007.

Hình 12: Các tệp được mã hóa

Nó thả một bản sao của chính nó vào % ProgramData% \ Windows \ csrss.exe và tạo một mục chạy cho bản sao này với tên là Burn BurnAware.. Nó Nó thả README1.txt thành README10.txttrên máy tính để bàn và thay đổi hình nền như hình dưới đây .

Hình 13: Hình nền shade

README.txt có ghi chú tiền chuộc bằng cả tiếng Nga và tiếng Anh.

Hình 14: Ghi chú tiền chuộc

Hình 15: Báo cáo hộp cát Zscaler cho ransomware bóng râm / Troldesh

 

Trường hợp II: Các trang lừa đảo trong  thư mục ẩn

Biểu đồ bên dưới hiển thị các loại trang lừa đảo khác nhau trong thư mục ẩn mà chúng tôi đã phát hiện tháng trước.

Hình 16: Lượt tấn công phishing trong hơn một tháng

Các trang lừa đảo mà chúng tôi đã thấy cho đến thời điểm này, được lưu trữ trong các thư mục ẩn được xác thực SSL, có liên quan đến Office 365, Microsoft, DHL, Dropbox, Bank of America, Yahoo, Gmail và các trang khác.

Hình 17: Trang lừa đảo OneDrive

Hình 18: Trang lừa đảo của Yahoo

Hình 19: Trang lừa đảo DHL

bình luận

One Thought to “Tấn công các trang web sử dụng HTTPS bằng thư mục ẩn well-know”

  1. Kami

    “Trong đó tháng trước hệ thống cũng đã ngăn chặn các giao dịch xâm phạm WordPress và Joomla do tải trọng của ransomware (13,6%) và các trang lừa đảo (27,6%), với các khối còn lại do coinminers, phần mềm quảng cáo và chuyển hướng độc hại.”

    đọc bài khó hiểu hơn cả tiếng anh ^_^
    chắc GG Dịch

Leave a Comment