您当前的位置:首页 > 电脑百科 > 安全防护 > 木马

恶意JavaScript注入活动感染了51000个网站

时间:2023-04-04 11:53:41  来源:  作者:嘶吼RoarTalk

Unit 42的研究人员一直在跟踪一起大范围的恶意JAVAScript(JS)注入活动,该活动将受害者重定向到广告软件和欺骗页面等恶意内容。这一威胁在2022年全年都很活跃,并在2023年继续感染众多网站

我们在51000多个网站上检测到了注入的JS代码,包括跻身Tranco前100万个网站排行榜的数百个网站。受影响的网站出现在Tranco中表明,这起活动可能影响了大量的人。

我们还发现,这起活动是多方面的,因为它在重定向到恶意网页之前执行多步注入,并使用混淆和良性附加攻击来绕过检测机制。恶意软件编写者利用这些技术将恶意JS代码样本的多种变体注入到网站中。

我们新颖的对抗性深度学习技术无罪推定(IUPG)检测到了注入的JS代码的多种变体。该模型是我们下一代防火墙产品的高级URL过滤(AUF)订阅服务的一部分。它可以检测恶意JS样本,并可以对来自内联保护和我们离线爬虫的内容进行分类,内联保护可对防火墙上的流量进行实时分析。


具体活动和用户影响

我们已经检测到攻击者将恶意JS代码注入到网站的活动的多种形式。这种注入的代码将受害者重定向到各种恶意内容,比如广告软件和骗局。

研究人员去年报道了一起类似的活动。我们在2020年观察到了该活动的第一例。然而,我们将侧重介绍在2022年1月至2023年期间跟踪的这起活动的最新变体。

自2022年初以来,我们在来自51000个主机名的大约170000个URL上检测到了这起活动。如图1所示,该活动在过去一年保持活跃状态,并在2023年继续影响网站。这起活动在2022年5月至8月期间达到了顶峰,当时我们看到平均每天有4000个URL中招。

图1. 该图显示了整个2022年和2023年初的活动,在2022年5月至8月之间达到顶峰

我们怀疑这起活动影响了大量的人,因为在撰写本文时,数百个受感染的网站跻身Tranco的前100万网站排行榜。在2023年1月期间,我们在14773个设备上拦截了来自这些网站的约240000次会话。


JS注入的例子

这起恶意JS注入活动使用各种技术来绕过检测机制,比如混淆、向大型良性文件附加代码和多步注入。我们将介绍恶意JS代码的几个例子,活动背后的不法分子对这些代码进行混淆处理,并隐藏在更庞大的JS文件中。我们还将介绍一个例子,其中恶意软件在最终加载恶意载荷之前执行一系列的JS注入。


混淆

图2a、b和c显示了活动中经常检测到的JS片段例子。在所有这些例子中,注入的JS代码都经过混淆处理,以隐藏恶意载荷从而绕过检测。具体来说,这种经过混淆处理的代码隐藏了用于加载恶意JS的外部URL。代码还包括向文档对象模型(DOM)动态添加恶意JS的行为。

比如说,下面的前两个JS代码片段(图2a和图b)使用String.fromCharCode隐藏了指向恶意JS的链接,这是一种常见的混淆技术。图2c显示了混淆的另一个例子。经过混淆处理的代码显示在左边,经过去混淆处理的代码显示在右边。通过使用variable _0xfcc4中的十六进制表示来混淆函数调用的名称(比如fromCharCode)。

图2 a. 使用String.fromCharCode隐藏恶意JS链接的例子

图2 b. 使用String.fromCharCode隐藏恶意JS链接的例子

图2 c. 隐藏函数调用名称的例子。图像的左侧显示了如何使用variable _0xfcc4中的十六进制表示来混淆函数调用。图像的右侧显示了去混淆后的函数调用fromCharCode


将JS代码附加到大文件中

我们在一些网站上发现了这些经过混淆处理的JS片段被注入到常见实用程序JS文件(比如jQuery)中的例子。恶意软件编写者经常使用这一招将恶意代码附加到大块的良性代码中,这又叫良性附加攻击。这种技术可以帮助恶意软件编写者逃避安全爬虫的检测机制。


多步JS注入

在所有JS代码片段中注入的JS代码(如图2a、b和c所示)通过操纵DOM附加外部恶意JS代码。这使攻击者能够改变恶意载荷。

这起活动最近的一种变体是将恶意JS代码注入到网站。然后它执行一系列中间JS注入,之后加载将受害者重定向到恶意网页的恶意载荷。

在图3显示的例子中,每个注入的JS代码在投放恶意载荷之前依次执行来自另一个网站的JS代码。包含来自不同网站的JS注入的一个原因可能是,攻击者想要不断改变加载最终载荷的URL,以防加载JS的URL被安全爬虫列入黑名单。

图3. 这个例子表明网站上的脚本注入在最终加载重定向到恶意网页的恶意载荷之前执行一系列中间脚本注入


重定向到恶意内容

最终的恶意载荷将用户重定向到不同的网站,然后登录到最终的网页,这通常是广告软件或欺骗页面。比如说,访客可能被重定向到一个虚假的通知欺骗页面,如图4a所示。在这个页面上,人们会看到欺骗性内容,引诱他们允许由攻击者控制的网站发送浏览器通知。

图4. 显示虚假的验证码图像,是为了引诱人们允许网站发送通知

在另一个例子中,如图4b所示,最终的恶意网页显示了来自知名视频共享平台的模仿页面的虚假警告这种形式的欺骗性内容。这些欺骗性内容会诱使人们下载虚假浏览器。

图4 b. 显示了知名视频共享平台的模仿页面以及虚假警告,诱使人们下载虚假浏览器


JS如何被注入到网站上?

Unit 42的研究人员怀疑,由于一个或多个易受攻击的内容管理系统(CMS)插件,大量网站可能会遭到攻击。Sucuri公司的研究人员曾报告了一起类似的活动利用CMS插件(详见https://blog.sucuri.NET/2022/05/massive-wordPress/ target=_blank class=infotextkey>WordPress-JavaScript-injection-campAIgn-redirects-to-ads.html)。我们还发现,检测到的网站(共51000个)中估计四分之三使用流行的CMS。

在一半以上被检测到的网站的主页上都包含注入的恶意JS代码。活动攻击者采用的一种常见策略是向经常使用的JS文件名(比如jQuery)注入恶意JS代码,它们可能被包含在中招网站的主页上。这可能帮助攻击者锁定网站的合法用户,因为他们更有可能访问网站的主页。


利用深度学习检测恶意JS注入

恶意软件编写者为这起活动设计了恶意JS代码的不同变体,将其注入到网站中。众所周知,深度学习技术在检测同一攻击的不同变体方面功能很强大。因此,深度学习技术可以提高恶意JS注入的检出率。

深度学习技术还可以抵抗来自恶意软件的对抗性逃避活动。这些类型的对抗性逃避的一个具体例子是普遍存在的黑盒对抗性威胁,即良性附加攻击。


结论

在2022年至2023年初期间,在51000多个网站上检测到了一起广泛的恶意JavaScript注入活动。我们发现恶意软件编写者对恶意JS进行混淆处理以绕过检测机制,并在重定向到恶意网页之前执行多步注入。

注入的JS代码可能影响了大量互联网用户,因为数百个受感染的网站跻身Tranco前100万网站排行榜。我们建议网站所有者和客户及时更新第三方插件和软件,以保护他们的网站免受这类注入。

这起活动中注入的恶意JS代码是我们在外头看到的附加攻击的一个常见例子。正如我们在IEEE安全和隐私研讨会(SPW)上发表的IUPG模型研究工作中所解释的那样,IUPG模型的训练过程专门旨在识别和隔离良性内容背景中的恶意子模式。

我们的深度学习模型无罪推定(IUPG)检测到了注入恶意JS代码的多种变体。该模型是高级URL过滤云提供的安全服务(可检测恶意JS样本)的检测功能之一。它还可以对来自离线爬虫以及防火墙上流量的内联实时分析的内容进行分类。

使用高级URL过滤和DNS安全订阅的下一代防火墙让客户可以免受本文描述的恶意JS注入活动的已知URL和主机名。我们还提供了已知攻陷指链接(https://Github.com/pan-unit42/iocs/blob/master/IOCs_MaliciousJS.txt),帮助对付本文中讨论的威胁。

参考及来源:https://unit42.paloaltonetworks.com/malicious-javascript-injection/



Tags:JavaScript注入   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
恶意JavaScript注入活动感染了51000个网站
Unit 42的研究人员一直在跟踪一起大范围的恶意JavaScript(JS)注入活动,该活动将受害者重定向到广告软件和欺骗页面等恶意内容。这一威胁在2022年全年都很活跃,并在2023年继续感...【详细内容】
2023-04-04  Search: JavaScript注入  点击:(237)  评论:(0)  加入收藏
▌简易百科推荐
苹果“安全”神话破灭?!iOS首次出现木马病毒
一直以来,iOS系统都以“安全性极高”闻名手机圈。在封闭软硬件生态加持下,iOS确实要比安卓系统更安全点。但是,小雷要说但是了嚯,最近iOS却首次出现了木马病毒。图源:苹果近日,在...【详细内容】
2024-02-19    雷科技  Tags:木马   点击:(66)  评论:(0)  加入收藏
新型恶意软件曝光:可绕过微软SmartScreen,窃取用户敏感信息
IT之家 1 月 17 日消息,趋势科技近日发布安全公告,发现了名为 Phemedrone Stealer 的高危恶意软件,可以绕过微软 Windows 10 和 Windows 11 系统中的 Defender SmartScreen,窃取...【详细内容】
2024-01-17  IT之家    Tags:恶意软件   点击:(89)  评论:(0)  加入收藏
Chameleon 恶意木马曝光,伪装成谷歌 Chrome 浏览器等应用
IT之家 12 月 26 日消息,安全公司 Threat Fabric 日前曝光了一款名为“Chameleon”的恶意木马,该木马通常伪装成谷歌 Chrome 浏览器及部分银行应用,安装后便会在后台持续录制受...【详细内容】
2023-12-26    IT之家  Tags:恶意木马   点击:(91)  评论:(0)  加入收藏
手机中了木马病毒怎么办?
网络安全问题也日益突出。其中,手机中了木马病毒是一种常见的安全威胁。木马病毒是一种恶意软件,通常通过下载不明应用、点击恶意链接等方式传播,对手机和个人信息安全造成严重...【详细内容】
2023-12-22  小笣子的二两生活    Tags:木马病毒   点击:(129)  评论:(0)  加入收藏
揭开勒索软件LostTrust的神秘面纱
勒索软件LostTrust一直被安全社区认为是MetaEncryptor勒索软件的“换壳”产品,因为它们几乎使用了相同的数据泄露网站和加密程序。LostTrust勒索软件于2023年3月开始积极活动...【详细内容】
2023-11-02  FreddyLu666  微信公众号  Tags:勒索软件   点击:(186)  评论:(0)  加入收藏
12种常见的恶意软件类型与防范建议
自从计算机技术被广泛使用以来,恶意软件就一直以某种形式存在,但其存在的类型在不断发展演变。如今,随着人类社会数字化程度的不断提升,恶意软件已经成为现代企业组织面临的最...【详细内容】
2023-10-26  安全牛  微信公众号  Tags:恶意软件   点击:(177)  评论:(0)  加入收藏
防不胜防!黑客使用转码域名在谷歌上投放钓鱼网站 看不出任何差别
谷歌搜索上的各种恶意软件和钓鱼网站广告屡见不鲜,这种操作手法已经相当成熟,都是先做一个看似合规的网站去投放广告,等谷歌审核通过了再把落地页修改为恶意内容。之前蓝点网已...【详细内容】
2023-10-23  区块软件开发    Tags:钓鱼网站   点击:(66)  评论:(0)  加入收藏
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?
0x01 事件简介近期,在进行macOS终端威胁狩猎时,发现了一例macOS终端窃密木马,经过深入分析发现该木马专门针对macOS,会从受害者的机器上窃取大量敏感信息,包括浏览器自动填充...【详细内容】
2023-09-27  M_Altman  FreeBuf.COM  Tags:木马   点击:(275)  评论:(0)  加入收藏
什么是Spyware?加密货币中的Spyware有多危险?
作者:BTC_Chopsticks什么是 spyware?Spyware 是一种在后台运行的恶意软件,经过编程后可以跟踪和记录受感染设备上的活动并收集有关用户的个人信息。 然后,这些信息会被发送给攻...【详细内容】
2023-08-07    新浪网  Tags:Spyware   点击:(281)  评论:(0)  加入收藏
勒索软件伪装成Windows更新,可加密文件、删除备份
IT之家 7 月 10 日消息,近日一种名为“Big Head”的勒索软件正在伪装成 Windows 更新来感染用户的电脑,不仅能加密文件,还能删除备份,这种恶意软件的两个变种已经被安全研究机构...【详细内容】
2023-07-11    IT之家  Tags:勒索软件   点击:(280)  评论:(0)  加入收藏
相关文章
    无相关信息
站内最新
站内热门
站内头条