Скрипт JJEncode ведет к Drive-By

Оригинал / Original Source: http://www.kahusecurity.com/2013/jjencode-script-leads-to-drive-by/

Использование JJEncode при загрузке с диска уже используется несколько лет, но недавно появилось много нового. Несколько читателей спросили, как обезвредить это, так вот ниже покажу это на примере настоящего скрипта.

Вот автомобильный форум, который был взломан:

Просмотрев исходный код, мы видим, что эта ссылка начинает заражение:

Тогда из alnera.eu, вы в конечном итоге получаете этот странно выглядящий Javascript:

Что это? Он выводится из JJEncode, классного сценария, сделанного Йосуке Хасегавой. Он использует только символы для генерации кода Javascript, который в этом случае приводит к компрометации вашего ПК.

Есть несколько способов для обезвреживания этого скрипта. Я покажу вам два пути.

Сначала длинный путь, но так вы можете немного понять, что происходит. Сначала убедитесь, что у вас есть «<! DOCTYPE>» в начале, так как это работает только с HTML 4.0 и выше (с IE в любом случае). Если вы собираетесь использовать Firefox или другой браузер, вам не обязательно это делать. Теперь найдите полуколонны и добавьте новую линию между ними. Внимательно посмотрите полуколонны между цитатами, так как вам нужно оставить их в покое. То, что вы, вероятно, в конечном итоге будет выглядеть примерно так (нижняя часть не будет содержать разделенные двоеточия).

Поскольку я работаю с вредоносным скриптом, я хочу сделать это осторожно, поэтому я комментирую все ниже того, над чем я работаю. Рядом с началом каждой строки есть знак равенства. Это означает, что символы перед ним являются переменными, а символы после – значением. Поэтому все, что я делаю, это «предупреждение» о переменной, чтобы я мог видеть, что делает каждая строка. Вот первая:

Вот результат:

И второе. Заметьте, что я оставил первую строку без комментариев. Причина в том, что она определяет переменную «_», поэтому, если я прокомментирую первую строку, ничего не произойдет в последующих строках.

2013-07-04_08

Продолжайте идти, пока не дойдете до линии перед большим блоком символов:

2013-07-04_09Результат говорит нам, что это вызов функции, и если вы внимательно посмотрите на него в конце сценария, вы поймете, что основная часть сценария является самоисполняющейся функцией.

2013-07-04_10

Поэтому мы можем просто заменить “_. $ (” На “alert (“:

2013-07-04_11И мы видим результат:

2013-07-04_12

Если вы хотите увидеть, как выглядит исходный код, мы можем внести изменения в самый конец строки. Из этого:

2013-07-04_13

В это:

2013-07-04_14

И тогда мы получим такой результат:

2013-07-04_15Вот второй способ, который поможет отключить этот скрипт. Это быстро и просто, но может не работать в 100% случаев. Просто добавьте это в начало следующим образом:

2013-07-04_16

И конечный результат выглядит так:

2013-07-04_17

Давайте посмотрим теперь на вредоносный скрипт и апплет. Значения параметров кодируются base64. Верхний URL ссылается на файл полезной нагрузки. Нижняя часть загружает один Java-апплет из другого URL-адреса, а параметр содержит ссылку на ту же полезную нагрузку, но с немного другим URL-адресом

.

2013-07-04_18Это новый пакет эксплойта, который называется «DotCacheF», но, похоже, он изменил формат URL-адреса.

Апплет Java не сильно запутывается, но имеет низкий уровень обнаружения. Ниже приведен фрагмент кода, использующего CVE-2013-2423.

2013-07-04_19Похоже, что полезной нагрузкой является ZeroAccess.

Файл: atom.jar
MD5: 912a89f21b7f27404c01c95d18e95d1a
VT: 3 / 46

Файл: sm_main.mp3
MD5: 8f72a0cb62a01f4fc7ef7064c4b66a8f
VT: 3 / 47

Leave a Reply

Your email address will not be published. Required fields are marked *