在网上经常可以看到“电脑中毒了怎么办”的类似问题,归根到底是因为这类电脑用户没有做好防护工作,才会让病毒有机可乘,杀毒软件哪个好用?360安全卫士可以免费提供精准查杀服务,更能为电脑提供实时防护。
近日360安全大脑监测到一批通过网页检测用户行为,窃取网民信息的窃密程序。攻击者利用虚假色情网站,通过在其网页中植入Cloud9 JavaScript Botnet 来控制用户浏览器,之后窃取浏览器Cookie、进行键盘记录、发起挖矿,甚至利用用户电脑发起DDoS攻击并通过远程投递漏洞利用代码执行载荷进而完全控制用户电脑。
Cloud9 JavaScript Botnet是一个基于JavaScript脚本的多功能远程控制程序(RAT),该恶意软件早在2017就已经出现在黑客论坛上。攻击者通常使用网页挂马的方式传播,但也有一些攻击者会通过伪装成正常浏览器扩展来进行传播。下图展示了,某站点页面引入恶意JS文件campaign.js (Cloud9 Botnet)
01键盘记录
campaign.js被加载后首先会检测操作系统及浏览器,识别浏览器类型后脚本使用 onkeypress 事件添加一个新的事件监听器,当按下键盘按键时会触发该事件,相应的按键值就会赋到一个变量中。键盘记录数据以及当前网页上“表单”数据都会被发送到 C&C,用户在被插入恶意代码页面中的按键操作,都将被黑客记录。
02远控控制
JS文件在 30 秒超时后调用pingHome函数,该函数向 C&C 发送 GET 请求获取控制端返回的命令。并根据返回结果执行进一步功能。
该恶意软件根据接收到的命令所能执行的主要功能有:
l FTP Flood攻击
l Cookie窃取
l 键盘记录
l 向指定站点发送 POST 请求
l POST Flood攻击
l 执行指定JavaScript 代码
l 静默加载网页(广告页面)
l 执行页面挖矿
l 点击劫持(iframe 跟随鼠标)
l 发送漏洞利用攻击,如:
n CVE_2016_0189(IE浏览器)
n CVE_2014_6332
n CVE-2016-7200(Edge浏览器)
l 4/7层混合DDos攻击(随机大小 POST Flood攻击)
03部分受控功能说明
数据窃取
攻击者会窃取浏览器 Cookie、获取剪切板数据并发送回传:
漏洞利用攻击
攻击者使用了CVE_2016_0189 、CVE_2014_6332 、CVE-2016-7200漏洞利用代码,对不同浏览器发起攻击:
DDoS攻击
JS执行后可以向任何地址发送 POST 请求。如果攻击者控制大量用户浏览器,则可以发起大规模的DDoS 攻击。
