-
-
[原创]【续】记抓包分析百度CDN节点被入侵事件 -下
-
发表于: 2017-9-19 19:16
-
注意:这文章是 2014-11-20写的,留了很久现在自己也不做TO C的安全了,就把文章整理发出来,留在硬盘也是烂了而已
昨天晚上又尝试了进一步的挖掘,发现原来是百度的某个网站下的JS被注入了恶意JAVASCRIPT脚本代码。今天发现还没有封所以就继续抓包分析。
一。再探毒穴
有了昨天的大体分析之后,因为还没有找到最终的原因,我们紧紧只是根据包的异常行为来判断百度的CDN节点出了问题,但是问题出在哪里我们还不太清楚。基于昨天的分析,我们今天就再深入点了解下。
还记得我们之前提到的在访问测试页的时候它就弹了吗?(今天为了提取了一个比较简单的URL来测)。我们打开WIRESHARE,然后把AP的网卡和出口的网卡都监控起来,然后我们再浏览一次那个测试页。如期而弹!此时我们停止监控,然后我们导出所有的HTTP对象。
之后就是用TC搜下我们之前在浏览器看到的域名29so
我们发找到了一个,而且显示的是脚本里面发现的。
这样我们就可以确定我们被改的时候是执行到了这个脚本。
我们过滤下发现只有这3个JS脚本,我们接着就一个个排除,最后发现cm.js这个脚本存放了我们之前搜到的域名字符串
二。飞向光明顶
我们直接把这个CM.JS下载下来看下,CM.JS这个脚本是在我们访问测试页的时候它里面嵌入的
在下载好了之后我大概看了下这个JS脚本,发现加入恶意代码的那一段被混淆了。 
解密的方法有几个可以把上面的 eval函数改成弹框显示,或者把这个JS存在本地然后改下eval函数为写文件,然后再调用它,这样混淆的JS代码就解出来了。下面是我解出来的代码 
整理之后如下:
上面的JS脚本比较简单,就是判断浏览器的标识,然后再选择分支跳转访问,同时会对浏览器做一个COOKIES生效周期做的一个记录。从代码中可以看到该脚本会过滤很多浏览器,因此这个并不是所有的浏览器都会生效。而我测试的时候用的是原生的android浏览器,所以第一个条件就命中了,之后会往下走,然后再判断是否为苹果的设备。如果是就跳到http://clk.uunt.com/link/180958/这个网址上,其他设备就跳到http://sahdonwqpndpans.29so.com/moble/index.html上 如下图所示:
到时整个事件的真正原因我们就了解了,就是百度的推广的一个网站JS被注入了恶意代码,导致所有引用到这个JS的网站都会跳到这个JS指定的网站上! PS:很奇怪的是sahdonwqpndpans.29so.com这个IP地址变了,和昨天指向百度CDN的IP不一样了!!!!!!!!!
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
