Sunucu tarafı tarayıcı günlükleri, web sitelerini hedef alan, son iki ay içinde 2.500'den fazla web sitesine bulaşan ve tespit edilmekten kaçınmak için zorlu teknikler kullanan kötü amaçlı yazılım kampanyası olan Sign1 ile ilgili bir JavaScript enjeksiyonunu ortaya çıkardığında, bir müşterinin web sitesinde rastgele açılır pencereler görülüyordu.
Günlük sunucu tarafı taramaları, yeni kötü amaçlı yazılımlar gibi değişiklikleri tespit etmek, web sitesi günlüklerini incelemek ve eklentilerdeki, özellikle de özel kod eklemeye izin veren değişiklikleri belirlemek için çok önemlidir.
.webp)
Eklentiler, kötü amaçlı kodların yerleştirilmesine olanak tanıdığından saldırganlar için caziptir ve yapılan bir araştırma, görünüşte zararsız bir özel CSS ve JS eklentisi içine yerleştirilmiş kötü amaçlı kodu ortaya çıkarmıştır.
Saldırganların bu tür eklentileri kötüye kullanması yaygın olsa da, bu özel kod benzersiz ve ilgi çekici bir yöntem sergiliyordu.
.webp)
Sign1 Kötü Amaçlı Yazılımın Tarihçesi
Sucuri'deki güvenlik araştırmacıları, özel HTML widget'ları veya eklentileri kullanarak web sitelerine kötü amaçlı komut dosyaları enjekte eden Sign1 adlı WordPress web sitelerini hedef alan bir kötü amaçlı yazılım kampanyası keşfetti.
Kötü amaçlı yazılım, her 10 dakikada bir değişen dinamik URL'ler oluşturmak ve ziyaretçileri dolandırıcılık sitelerine yönlendirebilecek veya istenmeyen reklamlar sunabilecek ek kötü amaçlı komut dosyaları getirmek için base64 kodlu parametreleri ve zamana dayalı rastgeleleştirmeyi kullanıyor.
2023'ün ikinci yarısında bunun da bir kampanya olduğu ortaya çıktı ve araştırmacılar, kötü amaçlı yazılımın tespit edilmekten kaçınmak için gizleme yöntemlerini değiştirdiğini fark etti.
Kötü Amaçlı Yazılımın Analizi
Kod, doğrulama amacıyla zamana dayalı rastgeleleştirmeyi kullanır ve Date.now() işlevini kullanarak geçerli Unix zamanını (1970-01-01'den bu yana milisaniye) alır; bu daha sonra saniyelere dönüştürülür ve 10 dakikalık aralığa hizalanarak zaman damgalarının doğrulanmasını sağlar. bu pencere içinde tutarlı.
Değer, onaltılık bir dize olarak ifade edilir ve görünüşte rastgele bir dize, doğrulama belirteci görevi görür; üçüncü taraf bir alandan gelen JavaScript dosyalarına yönelik istekler ise bu belirteci içerir.
.webp)
Sunucu, belirtecin zaman bileşenini geçerli zamanla karşılaştırır ve muhtemelen yetkisiz erişimi veya güncel olmayan veri alımını önlemek için güncel olmayan veya geçersiz zaman damgalarına sahip istekleri reddeder.
Saldırganlar, XOR kodlaması ile gizlenmiş sabit kodlu bir sayı dizisini enjekte ederken, anahtar (40682) örnekte hazır olarak mevcuttu ve araştırmacıların kodlamayı tersine çevirmesine ve yeni kayıtlı bir alan keşfetmesine olanak tanıdı.
.webp)
Bu teknik, saldırganların, anahtar bilgisi sayesinde tespit edilebilir kalarak kötü amaçlı içeriği maskelemesi için yaygın olarak kullanılan bir tekniktir.
Kötü amaçlı Javascript kodu, ziyaretçilerin tarayıcılarındaki URL'leri her 10 dakikada bir dinamik olarak değiştirerek, siteyi büyük bir yönlendiren (örneğin, Google) aracılığıyla ziyaret etmemiş ve açılır pencereyi daha önce görmemiş (bir çerez tarafından kontrol edilmiş) ziyaretçileri hedef alır.
.webp)
Koşullar karşılanırsa kod, geçerli sayfa URL'sini, yönlendireni ve tarayıcı dilini (base64 kodlu) bir Trafik Dağıtım Sistemine (TDS) göndererek kullanıcıları dolandırıcılık sitelerine (genellikle VexTrio alan adlarına) yönlendirmek için başka bir komut dosyası enjekte eder.
.webp)
Saldırganlar bunu başarmak için popüler Basit Özel CSS ve JS eklentilerini kullanırken, kötü amaçlı yazılım, saldırıdan kısa bir süre önce kayıtlı alanlardan ek komut dosyaları getirerek bunların engellenmesini zorlaştırır.
Saldırganlar, barındırma sağlayıcılarını değiştirdiler ve kötü amaçlı kod sunucu dosyaları yerine veritabanında bulunduğundan, tipik güvenlik taramalarını atlayarak konumlarının anlaşılmasını daha da zorlaştırmak için Cloudflare'i kullandılar.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.