天涯论坛

 找回密码
 立即注册
搜索
查看: 34|回复: 1

恶意软件分析:基于PHP的skimmer暗示Magecart活动仍在继续

[复制链接]

3138

主题

3万

回帖

9996万

积分

论坛元老

Rank: 8Rank: 8

积分
99968624
发表于 2024-10-4 16:35:43 | 显示全部楼层 |阅读模式

概述

Web skimming针对在线商城和网购用户来讲,仍然是一种非常严重的安全威胁。在这一行业,从普通业余兴趣者,到国家级别的黑客组织(例如Lazarus),网络犯罪分子的繁杂程度各不相同。

在安全方面,许多电子商务网站仍然容易受到攻击,由于它们数年来都升级过她们的内容管理软件(CMS)。咱们今天看到的活动是关于有些Magento1网站的,而这些网站已然被一个非常活跃的skimmer组织所入侵了。

经过分析后咱们发掘,去年秋天被发掘的Magecart Group 12便是Magento 1攻击事件背面的始作俑者,而这个组织此刻仍在继续传播新的恶意软件。网络犯罪分子会利用这些被叫作为Smilodon或Megalodon的Wen Shell并经过服务器端请求将JavaScript skimming代码加动态加载进在线商城站点中。这种技术非常有意思,由于都数客户端安全工具都没法检测或阻止skimmer。

Web Shell以favicon的形式隐匿

在对Magento 1网站运用网络爬虫进行分析时,咱们检测到了一个伪装成favicon图标的新型恶意软件。其中,文件名为Magento.png的文件会尝试将其以“image/png”传递,但该文件并正确的合法图像文件PNG格式内容。

恶意软件能够将合法图标快捷方式标签图换成伪造PNG文件的路径,来实现针对目的站点的入侵。跟运用伪造favicon图标文件来隐匿恶意JavaScript代码的攻击事件区别,这种攻击方式最后将实现一个PHP Web Shell。然则,当前网络犯罪分子所实现的这个PHP脚本并不可被正确加载。

Web Shell是一种非常流行的恶意软件类型,它准许攻击者实现针对目的主机的远程拜访和管理,它们一般会在攻击者利用漏洞实现针对目的主机的入侵之后加载进一台Web服务器中。

为了对这个Web Shell进行深入分析,咱们将其进行了反向解码。咱们看到,它会从一台域名为zolo[.]ow的外边主机获取数据。

在对m1_2021_force目录进行深入分析之后,咱们发掘了专门针对信用卡数据窃取的专用代码。

其中的数据提取部分与Denis@UnmaskParistes科研员在今年三月份于WordPress网站(Smilodon恶意软件)上发掘的内容相符,后者还能够窃取用户凭证数据:

下面给出的是SanSec报告的类似的PHP文件(Mage.php):

在针对Mageto 1EOL攻击事件进行分析时,SamSec之前还报告过类似的路径/文件名:

寓意着,咱们当时和此刻可能正在科研相同的威胁原因咱们能够经过科研正在运用基本设备来确认这一点。

Magecart Group 12

由于咱们在Magento 1.x网站上发掘了favicon Webshell,因此咱们认为可能与去年发掘的Magento 1分支(再也不守护)漏洞攻击事件有关。RiskIQ记录了这些攻击事件,并将其与当时的Magecart Group 12联系起来。

咱们发掘的最新域名(zolo[.]pw)恰好与先前Magecart Group 12相关的域recaptcha-in[.]pw和google statik[.]pw托管在相同的IP位置(217.12.204[.]185)上。

动态加载的skimmer

此刻非常多办法能够加载skimming代码,但最平常便是经过调用外边JavaScript资源来实现。当一个客户拜访一个在线商店时,她们的浏览器会向一个托管skimmer的域发出请求。尽管犯罪分子会持续扩展她们基本设备,但针对哪些运用域/IP数据库的skimmer来讲,阻止和屏蔽还是相对容易的。

相比之下,本文所介绍的skimmer会将代码动态地注入到商家网站中。向托管skimming代码的恶意域发送请求的是服务器端,而不是客户端。这般一来,除非所有被入侵的在线商城都被加入黑名单,否则这将引起基于数据库的屏蔽办法将行不通。一种更有效、但繁杂且容易出现误报的办法是实时检测DOM,并检测何时加载了恶意代码。

入侵威胁指标IoC

facedook[.]hostpathc[.]spacepredator[.]hostgoogle-statik[.]pwrecaptcha-in[.]pwsexrura[.]pwzolo[.]pwkermo[.]pwpsas[.]pwpathc[.]spacepredator[.]hostgooogletagmanager[.]onlineimags[.]pwy5[.]msautocapital[.]pwmyicons[.]netqr202754[.]pwthesun[.]pwredorn[.]spacezeborn[.]pwgoogletagmanagr[.]comautocapital[.]pwhttp[.]psxxx-club[.]pwy5[.]ms195[.]123[.]217[.]18217[.]12[.]204[.]18583[.]166[.]241[.]20583[.]166[.]242[.]10583[.]166[.]244[.]11383[.]166[.]244[.]15283[.]166[.]244[.]18983[.]166[.]244[.]7683[.]166[.]245[.]13183[.]166[.]246[.]3483[.]166[.]246[.]8183[.]166[.]248[.]67jamal.budunoff@yandex[.]rumuhtarpashatashanov@yandex[.]runikola-az@rambler[.]ru

精彩举荐





上一篇:PHP 全能型复合材料街码的功效?
下一篇:PHP开源软件框架WordPress | 校园信息平台的搜索功能实现(附视频)
回复

使用道具 举报

3089

主题

3万

回帖

9909万

积分

论坛元老

Rank: 8Rank: 8

积分
99098770
发表于 2024-11-5 05:05:42 | 显示全部楼层
认真阅读了楼主的帖子,非常有益。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

站点统计|Archiver|手机版|小黑屋|天涯论坛 ( 非经营性网站 )|网站地图

GMT+8, 2024-11-23 04:59 , Processed in 0.112459 second(s), 21 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.