Опасные краски

06 Июн 2011

мин. на чтение

Авторы

Марта Янус

Новые методы внедрения обманным способом вредоносного кода на вебсайты — прекрасный способ сбить с толку и пользователей, и защитные программы. Недавно я обнаружила интересную атаку на платформу для онлайн-шоппинга, при которой вредоносный скрипт внедрялся в PHP-файлы, эксплуатируя уязвимость Remote File Inclusion в программном обеспечении osCommerce.

Данный PHP-скрипт инициирует заражение и используется для добавления следующего кода сразу после определенных тегов в HTML-файлах и в начале JavaScript-файлов:

На первый взгляд этот код не выглядит, как обычно, подозрительным,– ничего не привлекает внимание: отсутствует тег , функция unescape(), а также eval(). Зато есть функция, которая, похоже, имеет отношение к цветам, отображаемым на веб-странице, и массив, заполненный значениями, которые якобы являются шестнадцатеричным представлением этих цветов. Неосмотрительные пользователи могут не обратить внимания на этот код, предположив, что он является легитимным и относится к странице. Однако, если посмотреть внимательно, мы увидим, чем он является в действительности. Код берет значения из массива, определенным образом трансформирует их и создает ASCII-сроку, что позволяет ему далее использовать метод document.write или document.createElement для добавления текста на исходный код веб-страницы. В последнем случае тип созданного элемента — text/javascript.</p> <p>На ваш взгляд, выглядит ли он достаточно подозрительным? 🙂</p> <p>Если указан второй параметр функции div_pick_colours(),возвращается функция</p> <p class="c"><a href="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2011/06/09154103/40536.png" target="_blank" rel="noopener noreferrer" class="magnificImage"><img decoding="async" src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2011/06/09154103/40536.png" border="0" alt=''></a></p> <p>в которой последнее значение всегда отличается и зависит от текущего времени и даты. Иными словами, она возвращает ту же URL, но без тегов . Данный адрес более неактивен, поэтому невозможно сказать, на какую угрозу он вел.</p> <p> «Лаборатория Касперского» детектирует эту вредоносную программу как Trojan-Downloader.PHP.JScript.a и Trojan.JS.Redirector.px. Согласно Virus Total, на момент написания PHP-часть этого зловреда детектировалась только еще одним производителем антивирусного ПО. Что касается скрипта, внедренного в JS и HTML, соотношение находилось всего лишь на уровне 20%.</p> <p class="c"><a href="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2011/06/09154059/40538.png" target="_blank" rel="noopener noreferrer" class="magnificImage"><img decoding="async" src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2011/06/09154059/40538-300x128.png" border="0" alt=''></a></p> <p>Как защитить свой вебсайт от заражения такими зловредами и что делать, если он уже заражен?</p> <p>Два наиболее важных момента — это резервные копии и регулярная проверка всех файлов на сервере. Если вы используете osCommerce или любое другое решение e-Commerce, необходимо всегда проверять наличие программных обновлений и устанавливать их сразу после их выпуска. Иногда время между обнаружением уязвимости и выпуском патча может растянуться очень надолго, поэтому, возможно, стоит отказаться от некоторых функций с багами и удалить уязвимые файлы и сервера. Также стоит установить пароль для корневой директории, так как это предотвращает изменения файлов вредоносными программами.</p> </div> </div> </div> <div class="c-article__footer"> <div class="c-article__categories"> <ul class="c-list-tags"> <li><a href="https://securelist.ru/tag/vzlomy-veb-sajtov/" class="c-link-tag"><span>Взломы веб-сайтов</span></a></li> </ul> </div> <div class="c-article__authors u-hidden@md"> <p class="c-title--extra-small">Авторы</p> <ul class="c-list-authors"> <li> <a href="https://securelist.ru/author/marta/" > <img alt='' src='https://media.kasperskycontenthub.com/wp-content/uploads/sites/103/2021/06/10095238/avatar_def-30x30.png' srcset='https://media.kasperskycontenthub.com/wp-content/uploads/sites/103/2021/06/10095238/avatar_def-60x60.png 2x' class='avatar avatar-30 photo' height='30' width='30' loading='lazy' decoding='async'/> <span>Марта Янус</span></a> </li> </ul> </div> </div> <div id="comments" class="entry-comments c-article__comments js-comments-wrapper"> <p class="c-title--extra-small">Опасные краски</p> <div id="respond" class="comment-respond"> <h3 id="reply-title" class="u-hidden"> <small></small></h3><form action="https://securelist.ru/wp-comments-post.php" method="post" id="loginform" class="comment-form"><p class="comment-notes"><span id="email-notes">Ваш e-mail не будет опубликован.</span> <span class="required-field-message">Обязательные поля помечены <span class="required">*</span></span></p><div class="comment-form-comment"><textarea id="comment" name="comment" style="width:100%" rows="8" aria-required="true" placeholder="Введите свой комментарий"></textarea></div><p class="comment-form-author"><label for="author">Имя <span class="required">*</span></label> <input id="author" name="author" type="text" value="" size="30" maxlength="245" autocomplete="name" required="required" /></p> <p class="comment-form-email"><label for="email">E-mail <span class="required">*</span></label> <input id="email" name="email" type="text" value="" size="30" maxlength="100" aria-describedby="email-notes" autocomplete="email" required="required" /></p> <script type="text/javascript"> document.addEventListener("input", function (event) { if (!event.target.closest("#comment")) return; try{ grecaptcha.render("recaptcha-submit-btn-area", { "sitekey" : "6LfQdrAaAAAAAEb_rTrwlbyc8z0Fa9CMjELY_2Ts", "theme" : "standard" }); }catch(error){/*possible duplicated instances*/} }); </script> <script src="https://www.google.com/recaptcha/api.js?hl=ru&render=explicit" async defer></script> <div id="recaptcha-submit-btn-area"> </div> <noscript> <style type="text/css">#form-submit-save {display:none;}</style> <input name="submit" type="submit" id="submit-alt" tabindex="6" value="Submit Comment"/> </noscript> <p class="form-submit"><input name="submit" type="submit" id="commentsubmit" class="submit" value="Ответить" /><a rel="nofollow" id="cancel-comment-reply-link" href="/opasny-e-kraski/8944/#respond" style="display:none;">Cancel</a> <input type='hidden' name='comment_post_ID' value='8944' id='comment_post_ID' /> <input type='hidden' name='comment_parent' id='comment_parent' value='0' /> </p><p style="display: none;"><input type="hidden" id="akismet_comment_nonce" name="akismet_comment_nonce" value="f4944184d4" /></p><p style="display: none !important;" class="akismet-fields-container" data-prefix="ak_"><label>Δ<textarea name="ak_hp_textarea" cols="45" rows="8" maxlength="100"></textarea></label><input type="hidden" id="ak_js_1" name="ak_js" value="149"/><script>document.getElementById( "ak_js_1" ).setAttribute( "value", ( new Date() ).getTime() );</script></p></form> </div> </div> </div> <div class="o-col c-article__sidebar c-widgets--distributed u-hidden u-flex@md"> <div class="c-widget__wrapper"> <div class="js-sticky-widget"> <p><span class="c-tag c-tag--primary">От тех же авторов</span></p> <div class="o-row o-row--small-gutters"> <div class="o-col-12 c-card__dividers c-card__dividers--hide-first@xs c-card__dividers--show-last@xs"> <article class="c-card c-card--hor-reverse@xs u-items-center"> <a href="https://securelist.ru/bolshaya-igra-setevye-ustrojstva-pod-pricelom/25648/" class="c-card__figure" style=""> <img width="500" height="351" src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2014/08/09090510/smhouse_pr.jpg" class="attachment-securelist-2020-thumbnail size-securelist-2020-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" srcset="" sizes="(max-width: 500px) 100vw, 500px" data-src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2014/08/09090510/smhouse_pr.jpg" data-srcset="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2014/08/09090510/smhouse_pr.jpg 500w, https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2014/08/09090510/smhouse_pr-300x211.jpg 300w" /> </a> <div class="c-card__body"> <header class="c-card__header"> <h3 class="c-card__title"><a href="https://securelist.ru/bolshaya-igra-setevye-ustrojstva-pod-pricelom/25648/" class="c-card__link">Большая игра: сетевые устройства под прицелом</a></h3> </header> </div> </article> </div> <div class="o-col-12 c-card__dividers c-card__dividers--hide-first@xs c-card__dividers--show-last@xs"> <article class="c-card c-card--hor-reverse@xs u-items-center"> <a href="https://securelist.ru/novy-j-rutkit-dlya-64-razryadnoj-sistemy-linux/3572/" class="c-card__figure" style=""> <img width="800" height="450" src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2018/11/11161454/securelist_abs_9-800x450.jpg" class="attachment-securelist-2020-thumbnail size-securelist-2020-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" data-src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2018/11/11161454/securelist_abs_9-800x450.jpg" data-srcset="" srcset="" /> </a> <div class="c-card__body"> <header class="c-card__header"> <h3 class="c-card__title"><a href="https://securelist.ru/novy-j-rutkit-dlya-64-razryadnoj-sistemy-linux/3572/" class="c-card__link">Новый руткит для 64-разрядной системы Linux: внедрение iframe</a></h3> </header> </div> </article> </div> <div class="o-col-12 c-card__dividers c-card__dividers--hide-first@xs c-card__dividers--show-last@xs"> <article class="c-card c-card--hor-reverse@xs u-items-center"> <a href="https://securelist.ru/etot-sajt-mozhet-prichinit-vred-vashemu-kompyuteru-kak-raspoznat-i-predotvratit-zarazhenie-veb-sajtov/22970/" class="c-card__figure" style=""> <img width="800" height="450" src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2018/11/11161453/securelist_abs_10-800x450.jpg" class="attachment-securelist-2020-thumbnail size-securelist-2020-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" data-src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2018/11/11161453/securelist_abs_10-800x450.jpg" data-srcset="" srcset="" /> </a> <div class="c-card__body"> <header class="c-card__header"> <h3 class="c-card__title"><a href="https://securelist.ru/etot-sajt-mozhet-prichinit-vred-vashemu-kompyuteru-kak-raspoznat-i-predotvratit-zarazhenie-veb-sajtov/22970/" class="c-card__link">«Этот сайт может причинить вред вашему компьютеру». Как распознать и предотвратить заражение веб-сайтов</a></h3> </header> </div> </article> </div> <div class="o-col-12 c-card__dividers c-card__dividers--hide-first@xs c-card__dividers--show-last@xs"> <article class="c-card c-card--hor-reverse@xs u-items-center"> <a href="https://securelist.ru/runforestrun-gootkit-and-random-domain-name-generation/3268/" class="c-card__figure" style=""> <img width="800" height="450" src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2018/11/11161440/securelist_abs_12-800x450.jpg" class="attachment-securelist-2020-thumbnail size-securelist-2020-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" data-src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2018/11/11161440/securelist_abs_12-800x450.jpg" data-srcset="" srcset="" /> </a> <div class="c-card__body"> <header class="c-card__header"> <h3 class="c-card__title"><a href="https://securelist.ru/runforestrun-gootkit-and-random-domain-name-generation/3268/" class="c-card__link">«RunForestRun», «gootkit» и генерирование случайных доменных имен</a></h3> </header> </div> </article> </div> <div class="o-col-12 c-card__dividers c-card__dividers--hide-first@xs c-card__dividers--show-last@xs"> <article class="c-card c-card--hor-reverse@xs u-items-center"> <a href="https://securelist.ru/golovy-gidry-vredonosnoe-po-dlya-setev/60/" class="c-card__figure" style=""> <img width="800" height="450" src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2018/11/11161440/securelist_abs_2-800x450.jpg" class="attachment-securelist-2020-thumbnail size-securelist-2020-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" data-src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2018/11/11161440/securelist_abs_2-800x450.jpg" data-srcset="" srcset="" /> </a> <div class="c-card__body"> <header class="c-card__header"> <h3 class="c-card__title"><a href="https://securelist.ru/golovy-gidry-vredonosnoe-po-dlya-setev/60/" class="c-card__link">Головы Гидры. Вредоносное ПО для сетевых устройств</a></h3> </header> </div> </article> </div> </div> </div> </div> <div class="c-widget__wrapper"> <div class="c-widget-subscribe js-sticky-widget"> <div class="c-block__header"> <h5 class="c-title--small">Подпишитесь на еженедельную рассылку</h5> <p>Самая актуальная аналитика – в вашем почтовом ящике</p> </div> <div class="c-form--float-labels js-float-labels"> <script type="text/javascript"></script> <div class='gf_browser_gecko gform_wrapper gform_wrapper_original_id_15 gravity-theme subscribe-mc_wrapper' id='gform_wrapper_1042351891' ><div id='gf_1042351891' class='gform_anchor' tabindex='-1'></div><form method='post' enctype='multipart/form-data' target='gform_ajax_frame_1042351891' id='gform_1042351891' class='subscribe-mc' action='/opasny-e-kraski/8944/#gf_1042351891' > <div class="gform-content-wrapper"><div class='gform_body gform-body'><div id='gform_fields_1042351891' class='gform_fields top_label form_sublabel_below description_below'><div id="field_15_1" class="gfield gfield_contains_required field_sublabel_below field_description_below gfield_visibility_visible" ><label class='gfield_label screen-reader-text' for='input_1042351891_1' >Email<span class="gfield_required"><span class="gfield_required gfield_required_text">(Required)</span></span></label><div class='ginput_container ginput_container_email'> <input name='input_1' id='input_1042351891_1' type='text' value='' class='medium' placeholder='Email' aria-required="true" aria-invalid="false" /> </div></div><div id="field_15_3" class="gfield js-kaspersky-gform-recaptcha-placeholder gform_hidden field_sublabel_below field_description_below gfield_visibility_hidden" ><div class='ginput_container ginput_container_text'><input name='input_3' id='input_1042351891_3' type='hidden' class='gform_hidden' aria-invalid="false" value='' /></div></div><fieldset id="field_15_2" class="gfield input-without-label label-gdpr gfield_contains_required field_sublabel_below field_description_below gfield_visibility_visible" ><legend class='gfield_label screen-reader-text gfield_label_before_complex' ><span class="gfield_required"><span class="gfield_required gfield_required_text">(Required)</span></span></legend><div class='ginput_container ginput_container_checkbox'><div class='gfield_checkbox' id='input_1042351891_2'><div class='gchoice gchoice_15_2_1'> <input class='gfield-choice-input' name='input_2.1' type='checkbox' value='I agree' id='choice_1042351891_15_2_1' /> <label for='choice_1042351891_15_2_1' id='label_1042351891_15_2_1'>Я согласен(а) предоставить мой адрес электронной почты АО “Лаборатория Касперского“, чтобы получать уведомления о новых публикациях на сайте. Я могу отозвать свое согласие в любое время, нажав на кнопку “отписаться” в конце любого из писем, отправленных мне по вышеуказанным причинам.</label> </div></div></div></fieldset></div></div> <div class='gform_footer top_label'> <button type="submit" class="gform_button button" id='gform_submit_button_1042351891' value="Регистрация"> <svg class="o-icon o-svg-icon o-svg-large"><use xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="https://securelist.ru/wp-content/themes/securelist2020/assets/sprite/icons.svg#icon-envelope"></use></svg> <span>Подписаться</span> </button> <input type='hidden' name='gform_ajax' value='form_id=15&title=&description=&tabindex=0' /> <input type='hidden' class='gform_hidden' name='is_submit_15' value='1' /> <input type='hidden' class='gform_hidden' name='gform_submit' value='15' /> <input type='hidden' class='gform_hidden' name='gform_unique_id' value='' /> <input type='hidden' class='gform_hidden' name='state_15' value='WyJbXSIsImIwODQwZTA2ZGQ0NzYwODcyOTBkZjNmZDM1NDk2Y2ZkIl0=' /> <input type='hidden' class='gform_hidden' name='gform_target_page_number_15' id='gform_target_page_number_1042351891_15' value='0' /> <input type='hidden' class='gform_hidden' name='gform_source_page_number_15' id='gform_source_page_number_1042351891_15' value='1' /> <input type='hidden' name='gform_random_id' value='1042351891' /><input type='hidden' name='gform_field_values' value='securelist_2020_form_location=sidebar' /> </div> </div><p style="display: none !important;" class="akismet-fields-container" data-prefix="ak_"><label>Δ<textarea name="ak_hp_textarea" cols="45" rows="8" maxlength="100"></textarea></label><input type="hidden" id="ak_js_2" name="ak_js" value="77"/><script>document.getElementById( "ak_js_2" ).setAttribute( "value", ( new Date() ).getTime() );</script></p></form> </div> <iframe style='display:none;width:0px;height:0px;' src='about:blank' name='gform_ajax_frame_1042351891' id='gform_ajax_frame_1042351891' title='This iframe contains the logic required to handle Ajax powered Gravity Forms.'>

Последние публикации

Отчеты

“Лаборатория Касперского” выявила новую кампанию EastWind, нацеленную на российские организации и использующую CloudSourcerer и инструменты APT31 и APT27.

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

Продолжаем рассказывать об APT-группе ToddyCat. В этой статье поговорим о туннелировании трафика, сохранении доступа к скомпрометированной инфраструктуре и краже данных.

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Опасные краски

Бэкдор в XZ: анализ перехватчика

Инцидент с XZ Utils: как дошли до жизни такой

История с бэкдором в XZ — первоначальный анализ

Атаки на индустриальный и государственный секторы РФ

Банкер QBot распространяется через деловую переписку

Последние публикации

Криптовалютная игра от APT Lazarus: инвесторы против уязвимостей нулевого дня

Стилер там, стилер здесь, стилеры везде!

Анализ группы Crypt Ghouls: продолжаем исследовать серию атак на Россию

Рассылка Horns&Hooves доставляет NetSupport RAT и BurnsRAT

Отчеты

Кампания EastWind: новые атаки CloudSorcerer на госорганизации в России

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

ToddyCat роет норы в вашей инфраструктуре и крадет секреты

StripedFly: двуликий и незаметный

Подпишитесь на еженедельную рассылку