如何分析攻擊者遺留的JavaScript后門腳本

這篇文章給大家介紹如何分析攻擊者遺留的JavaScript后門腳本，內容非常詳細，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

在一臺被入侵的服務器上，我們發現了一個攻擊者遺留下來的腳本。該腳本是由JavaScript編寫的，主要功能是作為Windows后門及C&C后端使用。在這里我首先要向大家說聲抱歉，為了保護客戶的隱私，我不會對一些細節做太多的探討和描述。

該腳本的體積非常的小只有不到2KB，唯一能表明它的存在的是一個名為“wscript.exe”的運行進程，這是一個合法的Windows程序。腳本的主要部分包含一個無限循環的命令等待，在將查詢字符串“reflow”傳遞給C&C 之后，它會休眠4個小時。

C&C的回調如下所示：

為了獲取更多的信息，我開始在各種搜索引擎和VirusTotal中搜索相關的代碼段，但令我失望的是我什么也沒發現。因此，我決定使用Recorded Future來幫助我尋找。Recorded Future可以通過掃描并分析成千上萬網站、博客、twitter帳戶的信息來找到目前和未來人們、組織、活動和事件之間的關聯性。

 在返回結果中匹配了三個在2017年12月刪除的匹配項。緩存的數據和鏈接回的源幫助我用C&C包恢復了壓縮文件。

在軟件包中有四個主要腳本（3個PHP和1個JavaScript文件）被復制到Web服務器。web服務器可能受到攻擊者控制或受到其它手段的危害。其中的主要腳本index.php包含了一個SVG動畫，當訪問者碰巧訪問該頁面后，會看到如下畫面。

該腳本顯示，當“reflow”傳遞到頁面時，惡意JavaScript文件（被重命名為一個PNG文件）的內容將被發送到受害者PC，并通過后門腳本進行評估。惡意腳本會通過WMI來獲取系統信息，然后將該信息作為其身份驗證方法的一部分發回。

在這里我們可以看到，該惡意腳本被無限循環運行，等待上傳，下載和執行等命令。

“mAuth”函數會生成短隨機字符串，并將它們與系統信息連接起來，并在Base64編碼后的Cookie中將其傳遞給C&C。這些隨機字符串很重要，因為它們被用作標記來識別包含在它們之間的指令。

數據通過AJAX回傳給C&C。這里有一個名為“FillHeader”的函數用來填充HTTP頭。

以下是當受害者PC檢查時HTTP請求的樣子：

對cookie值執行Base64解碼結果在第二行。在第二個符號顯示系統信息后，重復字符串上的Base64解碼。

其中的一個PHP腳本似乎是一個模板，被使用HTML代碼修改以使頁面看起來合法（例如，它包含實際網頁的一部分）。該腳本被重命名并由index.php腳本引用。該腳本具有負責上傳和下載文件以及創建活動日志的所有功能。日志文件包括受害者的IP地址，上傳和下載的文件，會話信息等。

“Authentication”函數讀取來自受害者的cookie值并解析出系統信息，以及定義用于創建日志文件名的變量。受害者的用戶名和計算機名稱為MD5哈希，并被作為日志文件名稱的一部分使用。當受害者PC連接到C&C時，會在C&C服務器上創建三個文件：

包中的最后一個PHP腳本用于與受害PC進行交互，并將命令發送給受害PC。請注意timezone和有趣的login方法。

可用的命令非常有限，但這已經足以讓攻擊者將更多更強大的工具上傳到受害者的PC上，并獲取更進一步的網絡訪問權限。最后，如果攻擊者意識到他們即將被發現，他們可以使用此腳本中內置的另一組命令，來刪除所有重要的日志文件。

關于如何分析攻擊者遺留的JavaScript后門腳本就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。