关键词
web威胁、web skimmer、cryptomining
消费者经常会在节假日期间进行网络购物,网络犯罪分子正在试图利用这一点。Paloalto的研究人员一直在追踪观察网络威胁的趋势,试图发现攻击者是如何利用这些趋势的。在最近的假期期间,研究人员观察到恶意URL数量出现了激增。
从2021年10月到2021年12月,Paloalto发现了大约533000个恶意登陆URL,其中有120753个已被确认为唯一登陆URL。此外,大约有290万个恶意主机URL被检测到,其中165000个被发现是唯一的。“恶意登陆URL”被定义为“为用户提供点击恶意链接机会的URL”。“恶意主机URL”是指“实际包含恶意代码片段的页面”,该页面可以利用用户的计算机资源、窃取敏感信息或执行各种类型的攻击。
下面将从以下几部分进行讨论,包括从Web威胁趋势中获得的见解、攻击行为处于活跃状态的时间周期、恶意代码托管的地理位置、web威胁分类以及常见的恶意软件家族。为了提高人们对假期期间恶意链接威胁的认识,研究人员将针对2021年10月到2021年12月间的假期威胁活动进行介绍。
本文涵盖的攻击类型和漏洞包括Skimmer攻击、表单劫持、恶意软件、挖矿活动。
研究人员收集了2021年10月至2021年12月的威胁数据,共检测到533452个包含各种Web威胁的登陆URL,其中有12753个唯一URL。
如图1所示,从2021年11月到2021年12月,Web威胁登录URL的总点击量和唯一点击量均比9月到10月期间的点击数更多。由此可见,攻击者(特别是针对电子商务网站的攻击者)在假期期间非常活跃。为了追踪网络犯罪分子常用的网络威胁手段,研究人员对网络威胁类别与时间之间的关系进行了趋势分析。具体的数据将在“Web威胁恶意软件分类分析”章节给出。
图1:Web威胁登陆URL分布
分析发现,上面提到的12753个唯一URL来自于21430个唯一域名。在这些域名的地理分布中,美国最为常见,其次是德国和俄罗斯。但是攻击者很可能会使用位于这些国家/地区的代理服务器和VPN来隐藏他们的实际地理位置。
图2的地区分布图显示了这些域名在全球范围内的分布趋势。
图2:Web威胁登陆URL的域地理位置分布
图3显示了这些域名所有者最可能来源的8个国家。
图3:Web威胁登陆URL来源的国家Top 8
图4:最初被认为是良性的登陆URL分类Top 10
与前文对登陆URL的分析中类似,单从总点击量和唯一点击量来看,网络威胁活动在2021年11月到2021年12月期间比2021年9月到2021年10月期间更为活跃(见图5)。攻击活动在11月达到顶峰,而11月正是美国、英国、德国等国的大型购物活动--“黑色星期五”。
图5:Web威胁恶意主机URL分布
165255个恶意主机URL归属于14891个唯一域名。这一数量少于在登录URL中观察到的唯一域名数量。这一定程度上表明攻击者用于托管恶意代码的域名很少。此外,唯一恶意主机URL的数量高于唯一登陆URL的数量。这表明如果攻击入口点可以有效利用,攻击者将在那里部署更多的恶意代码。
图6显示了恶意主机URL域名的地理位置分布,可以看出这些恶意域名大多源自美国。
图6:针对Web威胁的恶意主机URL域名的地理位置分布
图7显示了这些域名所有者最可能位于的8个国家。可以看出,美国、荷兰和俄罗斯是恶意主机域名数量前三的国家。而在第三节的分析中可知,恶意登录URL排名前三的国家是美国、德国和俄罗斯。这表明网络犯罪分子可以为恶意软件主机URL和登陆URL使用不同的域名。
图7:可能存在Web威胁的恶意主机URL的域名来源Top 8
排名前五的网络威胁活动分别是挖矿、JS下载器、web skimmers、网络诈骗和JS重定向器。
如图8所示,截至2021年底,JS下载器的攻击活动最为活跃,其次是挖矿活动和web skimmers。
图9-图13分别列出了这五种威胁活动的分布数量。可以看出,网络威胁总体呈上升趋势。同时可以看到,web skimmers、JS下载器和Web诈骗呈现出相同的分布趋势,唯一点击数均逐步上升,总点击数的峰值均出现在11月。可以看出,网络犯罪分子的攻击活动正随着网络购物的流行度而增加。
图8:Web威胁类别Top 5
图9:Web skimmer分布
图10:挖矿活动分布
图11:JS下载器分布
图12:JS重定向器分布
图13:网络欺诈分布
基于上述Web威胁类型,研究人员进一步按恶意软件家族对一些Web威胁进行组织。恶意软件家族对于我们了解威胁的运作原理非常重要,因为来自同一恶意家族的威胁通常会共享类似的JavaScript代码,即使其HTML登录页面具有不同的布局和样式。
安全人员通过检查某些特定特征将恶意软件识别为某个恶意家族的一部分,相似的代码模式或行为通常源自同一攻击者。图14显示了在这次识别的前18个恶意软件家族中观察到的恶意代码片段数量。从图中可以看到,挖矿家族和JS下载器的家族很少,而web skimmers有各种各样的代码和行为。
图14:Web威胁恶意软件家族分布
下面将对一个有趣的Web威胁案例进行分析。该案例在被研究人员发现之前尚未被VirusTotal所检测到。
这个skimmer样本被注入到一个流行的电子产品在线购物网站中。它使用了多种高级JavaScript功能来混淆恶意JavaScript代码,以规避安全设备的检测。如图15所示,该恶意JavaScript文件注入到了受害者网站的多个页面中。
图15:注入恶意JavaScript文件的损坏网站页面
为了进一步分析,安全人员从该第三方网站中提取了恶意JavaScript文件。代码片段如图16所示。
图16:恶意网页浏览器代码片段
可以看出,这段代码被高度混淆过,攻击者使用了很多手段来误导分析人员。
首先,图17列出了最有意思的部分。
图17:恶意网页浏览器代码片段
第一行引用的变量_0x2d92将在稍后定义。
这段代码并不会引发异常,这是JavaScript中的一种特殊语法,允许在定义变量之前引用该变量,前提是变量引用和变量定义出现在同一个文件中。
同样,变量_0x52f6的定义出现在引用代码的后面,这是一个包含加密数组的函数名称。
接着在这里调用了一个匿名函数,它以变量0x52f6作为一个参数,使用_0x2d92函数和大量parseInt函数对加密数组进行解密。
当加密数组位于_0x52f6函数中时,如何更改它呢?这是通过本示例中使用的高级JavaScript语法完成的,如图18所示。
图18:恶意网页浏览器代码片段
此代码使用JavaScript闭包语法来创建持久数组。调用onefunc()[0]=123永久修改数组的第一个元素。
当匿名函数被执行后重新检查数组时,可以发现它仍然是加密的。这表明它存在双重加密。
图19仅显示了与代码片段的用途相关的部分。
图19:恶意网页浏览器代码片段
在上面的代码中,xxxxfunc(array_index, decryption_key)被大量使用,这是从双重加密数组中读取明文的唯一方法。数组中的每个元素都有不同的解密密钥。
基本上,这段代码的逻辑与web skimmer活动示例完全相同。
至此,我们可以解密在Gate:_0x2f1e7d(0x280, "H(U$")中定义的恶意软件命令和控制(C2)服务器。
正如我们所见,最常见的网络威胁仍然是加密货币挖矿、JS下载器、web skimmer、网络诈骗和JS重定向器。从对登陆URL的分析中可知,最容易被攻击者攻击的前三个目标分别是“个人网站和博客”、“商业/经济网站”和“购物网站”。
安全人员还发现,在节日期间,随着消费者购买欲望的增加,网络威胁活动变得更加活跃。出于这个原因,在节日期间为家人和朋友购买礼物时应该更加小心,特别是在浏览新网站时。
MaliciousWeb Skimmer
SHA256: 69ae50160f22494759f89e2b318fe3f1342a87eeeeb4829fefaeafa4a560d57e
编辑|贺捷
审校|何双泽、金矢
本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“关于我们”可见。
原文始发于微信公众号(国家网络威胁情报共享开放平台):Web威胁中的URL分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论