双十一前夕悠悠色，还念念着通过同城交友或是某些不成形色的网站一解只身的烦躁？别急，不妨先来望望这些网站给光棍发的“福利”！

最近，360安全中心监测到一齐网站弹窗告白挂马事件，弹出的网罗告白出现挂马，告白实质以同城交友等伪装色情吸引信息为主，通过对扫数这个词挂马膺惩的经过分析发现该挂马剧本以及膺惩负载(Payload)在通过中招者网罗时进行加密，并在终末阶段通过进行解密实施。膺惩负载致使还诓骗regsrv32实用规范实施一个.sct文献来绕过AppLocker的剧本功令。

底下就对该挂马木马进行爽气分析：

通过监控跟踪发现主要开端于外挂以及色情网站的自动掸窗告白，用户使用此类外挂自动掸出同城交友告白或浏览某些色情网站就可能触发带破绽膺惩的页面，如果此时受害者的机器莫得打相应补丁的话，就会触发相应破绽，启动下载木马并实施：

图1

图2

该页面客户镶嵌的js剧本经过如下：

图3

挂马代码加密经过简图：

图4

第一个页面*.96.42/index.php?id=011：

主邀功能：

每次处事器齐会生成一个立地的validate值放入表单中，这个值每次刷新取得的效果齐不一样，通过这个值当作浏览器的会话标志。

此外，膺惩者使用IE官方的HTML要求注目来进行浏览器版块判断，这种判断关于常见的前端蓄意是有用的，然而关于浏览器破绽诓骗却是漏洞的，因为不同浏览器齐会开启不同进程的兼容步地，导致漏洞的兼容性开发效果，是以不如径直判断浏览器版块好。

凭证浏览器的上述的效果，构造最终需要提交的表单数据，并进行GET提交

图5

图6

第二个页面：

GET提交的地址*.*.42/p/servlet?token=&id=49457&validate=XXXXXXXXXX

参数中有servlet，故推测有可能后台是java。

这个央求会被302重定向到另外一个页面：

*.*.43/rt/ab06add394fb469b6510973131acb870.html?id=49457

这个页面会凭证ID复返Rabbit冒昧RC4的加密后的Load代码，页面载入了特殊的两个js库文献(encrypt.min.js、tinyjs.min.js)，提供干系的对称和非对称加密算法。

图7悠悠色

解密取得的效果：

代码中会预制一个RSA公钥，然后使用立地数生成函数来生成一段字符串当作后续的对称加密密钥，并将该数据POST到处事器，此外还会动态生成一个字符串，两者拼接后当作后续通信加密的密钥。POST央求会从处事端复返这个密钥加密的破绽诓骗代码。此时会凭证汲取到的数据选项，选择使用RC4照旧Rabbit算法进行解密并实施。

图 8

破绽诓骗：最终解密实施的破绽诓骗代码不错很彰着看出是CVE-2016-0189。

图9

破绽诓骗告捷后，会诓骗regsvr32调用sct文献实施对应剧本。

（Regsvr32是Windows大喊行实用器用用于注册动态连络库文献，向系统注册控件冒昧卸载控件的大喊，以大喊行样貌运行。海外网友Casey Smith@subTee发现通过调用regsrv32实用规范实施一条大喊冒昧.sct文献有可能绕过AppLocker的剧本功令。由于该实用规范是具有微软官方签名的是以克己自无谓多说了，而且守旧TLS加密，校服重定向样貌，且不会在磁盘上留住踪影。鉴于这样多优点，挂马者当然不会错过）

regsrv32大喊行参数选项：

/s 静默实施

/n 指定不调用DllRegisterServer，此选项必须与/i共同使用

/i 调用DllInstall将它传递到可选的[cmdline]，在与 /u 共同使用时，它调用DllUnstall

Sct文献：

文献中包含了经过base64编码后的坏心dll文献，诓骗ActiveXObject写入到腹地文献，

在使用剧本操作二进制文献时，持续会因为不概念字符报错，是以挂马者常常会选择先对二进制文献作base64编码再操作，终末通过解码收复出二进制文献；

图10

以下是测试将sct文献中的Base64部分诊疗成dll文献的js剧本：

然后和会过regsvr32加特定的参数实施：参数中包含lua剧本的下载连络。

图11

在config.lua文献中其判断了是否为网吧环境，淌若网吧环境则只装配小黑记事本(xiaohei.lua)和abc看图(abc.lua)；不然装配如下图所示多款软件。

图12

图13

以duba.lua为例其中的lua剧本实质如下，主要判断未装配扩充软件的环境下进行下载装配：

图14

最终庸俗中招用户机器上被扩充装配上10款扩充软件：

图15

凭证监测及同源分析，该木马在早期的版块中还加入了“隐魂”木马，不外在近期传播的样本中并莫得发现“隐魂”木马。

[360安全中心在8月份截获的感染MBR（磁盘主相通纪录）的“隐魂”木马]

史上反调查力最强木马“隐魂”：撑起色情播放器百万扩充陷坑

“隐魂”木马批改主页分析：史上反调查力最强木马的不法素描

360安全卫士也曾不错有用遏止此类网站挂马：

图16

360安全卫士遏止木马诓骗regsvr32 注册sct木马：

图17

结语：

膺惩者对干系加密算法相比了解，选用了较为稀有的Rabbit对称加密算法；膺惩者具备一定的前端开发训戒，代码容错性强，兼容性高了；后台不再是静态文献，而给与了动态生成实质，生成的网址亦然一次性的；扫数的js代码均经过了浑浊变量的操作。

膺惩者冷静启动学习海外流行Exploitkit的作念法，动态生成膺惩页面，并对破绽诓骗代码加密，防备网关过滤和流量包重放分析，加大了分析难度，也有助于守密膺惩代码。

关于庸俗用户提议应该尽量幸免使用外挂扶持、幸免点击伪装色情网站的坏心告白、开启安全软件进行防护。

[明慧]传递专科学问、拓宽行业东谈主脉——看雪讲师团队等你加入！悠悠色

• 悠悠色
• 原创
• 站的
• 光棍
• 色情网