Unit 42的研究人員一直在跟蹤一起大范圍的惡意JAVAScript(JS)注入活動(dòng),該活動(dòng)將受害者重定向到廣告軟件和欺騙頁(yè)面等惡意內(nèi)容。這一威脅在2022年全年都很活躍,并在2023年繼續(xù)感染眾多網(wǎng)站。
我們?cè)?1000多個(gè)網(wǎng)站上檢測(cè)到了注入的JS代碼,包括躋身Tranco前100萬(wàn)個(gè)網(wǎng)站排行榜的數(shù)百個(gè)網(wǎng)站。受影響的網(wǎng)站出現(xiàn)在Tranco中表明,這起活動(dòng)可能影響了大量的人。
我們還發(fā)現(xiàn),這起活動(dòng)是多方面的,因?yàn)樗谥囟ㄏ虻綈阂饩W(wǎng)頁(yè)之前執(zhí)行多步注入,并使用混淆和良性附加攻擊來(lái)繞過(guò)檢測(cè)機(jī)制。惡意軟件編寫(xiě)者利用這些技術(shù)將惡意JS代碼樣本的多種變體注入到網(wǎng)站中。
我們新穎的對(duì)抗性深度學(xué)習(xí)技術(shù)無(wú)罪推定(IUPG)檢測(cè)到了注入的JS代碼的多種變體。該模型是我們下一代防火墻產(chǎn)品的高級(jí)URL過(guò)濾(AUF)訂閱服務(wù)的一部分。它可以檢測(cè)惡意JS樣本,并可以對(duì)來(lái)自?xún)?nèi)聯(lián)保護(hù)和我們離線(xiàn)爬蟲(chóng)的內(nèi)容進(jìn)行分類(lèi),內(nèi)聯(lián)保護(hù)可對(duì)防火墻上的流量進(jìn)行實(shí)時(shí)分析。
具體活動(dòng)和用戶(hù)影響
我們已經(jīng)檢測(cè)到攻擊者將惡意JS代碼注入到網(wǎng)站的活動(dòng)的多種形式。這種注入的代碼將受害者重定向到各種惡意內(nèi)容,比如廣告軟件和騙局。
研究人員去年報(bào)道了一起類(lèi)似的活動(dòng)。我們?cè)?020年觀察到了該活動(dòng)的第一例。然而,我們將側(cè)重介紹在2022年1月至2023年期間跟蹤的這起活動(dòng)的最新變體。
自2022年初以來(lái),我們?cè)趤?lái)自51000個(gè)主機(jī)名的大約170000個(gè)URL上檢測(cè)到了這起活動(dòng)。如圖1所示,該活動(dòng)在過(guò)去一年保持活躍狀態(tài),并在2023年繼續(xù)影響網(wǎng)站。這起活動(dòng)在2022年5月至8月期間達(dá)到了頂峰,當(dāng)時(shí)我們看到平均每天有4000個(gè)URL中招。
圖1. 該圖顯示了整個(gè)2022年和2023年初的活動(dòng),在2022年5月至8月之間達(dá)到頂峰
我們懷疑這起活動(dòng)影響了大量的人,因?yàn)樵谧珜?xiě)本文時(shí),數(shù)百個(gè)受感染的網(wǎng)站躋身Tranco的前100萬(wàn)網(wǎng)站排行榜。在2023年1月期間,我們?cè)?4773個(gè)設(shè)備上攔截了來(lái)自這些網(wǎng)站的約240000次會(huì)話(huà)。
JS注入的例子
這起惡意JS注入活動(dòng)使用各種技術(shù)來(lái)繞過(guò)檢測(cè)機(jī)制,比如混淆、向大型良性文件附加代碼和多步注入。我們將介紹惡意JS代碼的幾個(gè)例子,活動(dòng)背后的不法分子對(duì)這些代碼進(jìn)行混淆處理,并隱藏在更龐大的JS文件中。我們還將介紹一個(gè)例子,其中惡意軟件在最終加載惡意載荷之前執(zhí)行一系列的JS注入。
混淆
圖2a、b和c顯示了活動(dòng)中經(jīng)常檢測(cè)到的JS片段例子。在所有這些例子中,注入的JS代碼都經(jīng)過(guò)混淆處理,以隱藏惡意載荷從而繞過(guò)檢測(cè)。具體來(lái)說(shuō),這種經(jīng)過(guò)混淆處理的代碼隱藏了用于加載惡意JS的外部URL。代碼還包括向文檔對(duì)象模型(DOM)動(dòng)態(tài)添加惡意JS的行為。
比如說(shuō),下面的前兩個(gè)JS代碼片段(圖2a和圖b)使用String.fromCharCode隱藏了指向惡意JS的鏈接,這是一種常見(jiàn)的混淆技術(shù)。圖2c顯示了混淆的另一個(gè)例子。經(jīng)過(guò)混淆處理的代碼顯示在左邊,經(jīng)過(guò)去混淆處理的代碼顯示在右邊。通過(guò)使用variable _0xfcc4中的十六進(jìn)制表示來(lái)混淆函數(shù)調(diào)用的名稱(chēng)(比如fromCharCode)。
圖2 a. 使用String.fromCharCode隱藏惡意JS鏈接的例子
圖2 b. 使用String.fromCharCode隱藏惡意JS鏈接的例子
圖2 c. 隱藏函數(shù)調(diào)用名稱(chēng)的例子。圖像的左側(cè)顯示了如何使用variable _0xfcc4中的十六進(jìn)制表示來(lái)混淆函數(shù)調(diào)用。圖像的右側(cè)顯示了去混淆后的函數(shù)調(diào)用fromCharCode
將JS代碼附加到大文件中
我們?cè)谝恍┚W(wǎng)站上發(fā)現(xiàn)了這些經(jīng)過(guò)混淆處理的JS片段被注入到常見(jiàn)實(shí)用程序JS文件(比如jQuery)中的例子。惡意軟件編寫(xiě)者經(jīng)常使用這一招將惡意代碼附加到大塊的良性代碼中,這又叫良性附加攻擊。這種技術(shù)可以幫助惡意軟件編寫(xiě)者逃避安全爬蟲(chóng)的檢測(cè)機(jī)制。
多步JS注入
在所有JS代碼片段中注入的JS代碼(如圖2a、b和c所示)通過(guò)操縱DOM附加外部惡意JS代碼。這使攻擊者能夠改變惡意載荷。
這起活動(dòng)最近的一種變體是將惡意JS代碼注入到網(wǎng)站。然后它執(zhí)行一系列中間JS注入,之后加載將受害者重定向到惡意網(wǎng)頁(yè)的惡意載荷。
在圖3顯示的例子中,每個(gè)注入的JS代碼在投放惡意載荷之前依次執(zhí)行來(lái)自另一個(gè)網(wǎng)站的JS代碼。包含來(lái)自不同網(wǎng)站的JS注入的一個(gè)原因可能是,攻擊者想要不斷改變加載最終載荷的URL,以防加載JS的URL被安全爬蟲(chóng)列入黑名單。
圖3. 這個(gè)例子表明網(wǎng)站上的腳本注入在最終加載重定向到惡意網(wǎng)頁(yè)的惡意載荷之前執(zhí)行一系列中間腳本注入
重定向到惡意內(nèi)容
最終的惡意載荷將用戶(hù)重定向到不同的網(wǎng)站,然后登錄到最終的網(wǎng)頁(yè),這通常是廣告軟件或欺騙頁(yè)面。比如說(shuō),訪客可能被重定向到一個(gè)虛假的通知欺騙頁(yè)面,如圖4a所示。在這個(gè)頁(yè)面上,人們會(huì)看到欺騙性?xún)?nèi)容,引誘他們?cè)试S由攻擊者控制的網(wǎng)站發(fā)送瀏覽器通知。
圖4. 顯示虛假的驗(yàn)證碼圖像,是為了引誘人們?cè)试S網(wǎng)站發(fā)送通知
在另一個(gè)例子中,如圖4b所示,最終的惡意網(wǎng)頁(yè)顯示了來(lái)自知名視頻共享平臺(tái)的模仿頁(yè)面的虛假警告這種形式的欺騙性?xún)?nèi)容。這些欺騙性?xún)?nèi)容會(huì)誘使人們下載虛假瀏覽器。
圖4 b. 顯示了知名視頻共享平臺(tái)的模仿頁(yè)面以及虛假警告,誘使人們下載虛假瀏覽器
JS如何被注入到網(wǎng)站上?
Unit 42的研究人員懷疑,由于一個(gè)或多個(gè)易受攻擊的內(nèi)容管理系統(tǒng)(CMS)插件,大量網(wǎng)站可能會(huì)遭到攻擊。Sucuri公司的研究人員曾報(bào)告了一起類(lèi)似的活動(dòng)利用CMS插件(詳見(jiàn)https://blog.sucuri.NET/2022/05/massive-wordPress/ target=_blank class=infotextkey>WordPress-JavaScript-injection-campaign-redirects-to-ads.html)。我們還發(fā)現(xiàn),檢測(cè)到的網(wǎng)站(共51000個(gè))中估計(jì)四分之三使用流行的CMS。
在一半以上被檢測(cè)到的網(wǎng)站的主頁(yè)上都包含注入的惡意JS代碼。活動(dòng)攻擊者采用的一種常見(jiàn)策略是向經(jīng)常使用的JS文件名(比如jQuery)注入惡意JS代碼,它們可能被包含在中招網(wǎng)站的主頁(yè)上。這可能幫助攻擊者鎖定網(wǎng)站的合法用戶(hù),因?yàn)樗麄兏锌赡茉L問(wèn)網(wǎng)站的主頁(yè)。
利用深度學(xué)習(xí)檢測(cè)惡意JS注入
惡意軟件編寫(xiě)者為這起活動(dòng)設(shè)計(jì)了惡意JS代碼的不同變體,將其注入到網(wǎng)站中。眾所周知,深度學(xué)習(xí)技術(shù)在檢測(cè)同一攻擊的不同變體方面功能很強(qiáng)大。因此,深度學(xué)習(xí)技術(shù)可以提高惡意JS注入的檢出率。
深度學(xué)習(xí)技術(shù)還可以抵抗來(lái)自惡意軟件的對(duì)抗性逃避活動(dòng)。這些類(lèi)型的對(duì)抗性逃避的一個(gè)具體例子是普遍存在的黑盒對(duì)抗性威脅,即良性附加攻擊。
結(jié)論
在2022年至2023年初期間,在51000多個(gè)網(wǎng)站上檢測(cè)到了一起廣泛的惡意JavaScript注入活動(dòng)。我們發(fā)現(xiàn)惡意軟件編寫(xiě)者對(duì)惡意JS進(jìn)行混淆處理以繞過(guò)檢測(cè)機(jī)制,并在重定向到惡意網(wǎng)頁(yè)之前執(zhí)行多步注入。
注入的JS代碼可能影響了大量互聯(lián)網(wǎng)用戶(hù),因?yàn)閿?shù)百個(gè)受感染的網(wǎng)站躋身Tranco前100萬(wàn)網(wǎng)站排行榜。我們建議網(wǎng)站所有者和客戶(hù)及時(shí)更新第三方插件和軟件,以保護(hù)他們的網(wǎng)站免受這類(lèi)注入。
這起活動(dòng)中注入的惡意JS代碼是我們?cè)谕忸^看到的附加攻擊的一個(gè)常見(jiàn)例子。正如我們?cè)贗EEE安全和隱私研討會(huì)(SPW)上發(fā)表的IUPG模型研究工作中所解釋的那樣,IUPG模型的訓(xùn)練過(guò)程專(zhuān)門(mén)旨在識(shí)別和隔離良性?xún)?nèi)容背景中的惡意子模式。
我們的深度學(xué)習(xí)模型無(wú)罪推定(IUPG)檢測(cè)到了注入惡意JS代碼的多種變體。該模型是高級(jí)URL過(guò)濾云提供的安全服務(wù)(可檢測(cè)惡意JS樣本)的檢測(cè)功能之一。它還可以對(duì)來(lái)自離線(xiàn)爬蟲(chóng)以及防火墻上流量的內(nèi)聯(lián)實(shí)時(shí)分析的內(nèi)容進(jìn)行分類(lèi)。
使用高級(jí)URL過(guò)濾和DNS安全訂閱的下一代防火墻讓客戶(hù)可以免受本文描述的惡意JS注入活動(dòng)的已知URL和主機(jī)名。我們還提供了已知攻陷指鏈接(https://Github.com/pan-unit42/iocs/blob/master/IOCs_MaliciousJS.txt),幫助對(duì)付本文中討論的威脅。
參考及來(lái)源:https://unit42.paloaltonetworks.com/malicious-javascript-injection/
