Опасные краски

06 Июн 2011

мин. на чтение

Авторы

Марта Янус

Новые методы внедрения обманным способом вредоносного кода на вебсайты — прекрасный способ сбить с толку и пользователей, и защитные программы. Недавно я обнаружила интересную атаку на платформу для онлайн-шоппинга, при которой вредоносный скрипт внедрялся в PHP-файлы, эксплуатируя уязвимость Remote File Inclusion в программном обеспечении osCommerce.

Данный PHP-скрипт инициирует заражение и используется для добавления следующего кода сразу после определенных тегов в HTML-файлах и в начале JavaScript-файлов:

На первый взгляд этот код не выглядит, как обычно, подозрительным,– ничего не привлекает внимание: отсутствует тег , функция unescape(), а также eval(). Зато есть функция, которая, похоже, имеет отношение к цветам, отображаемым на веб-странице, и массив, заполненный значениями, которые якобы являются шестнадцатеричным представлением этих цветов. Неосмотрительные пользователи могут не обратить внимания на этот код, предположив, что он является легитимным и относится к странице. Однако, если посмотреть внимательно, мы увидим, чем он является в действительности. Код берет значения из массива, определенным образом трансформирует их и создает ASCII-сроку, что позволяет ему далее использовать метод document.write или document.createElement для добавления текста на исходный код веб-страницы. В последнем случае тип созданного элемента — text/javascript.</p> <p>На ваш взгляд, выглядит ли он достаточно подозрительным? 🙂</p> <p>Если указан второй параметр функции div_pick_colours(),возвращается функция</p> <p class="c"><a href="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2011/06/09154103/40536.png" target="_blank" rel="noopener noreferrer" class="magnificImage"><img decoding="async" src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2011/06/09154103/40536.png" border="0" alt=''></a></p> <p>в которой последнее значение всегда отличается и зависит от текущего времени и даты. Иными словами, она возвращает ту же URL, но без тегов . Данный адрес более неактивен, поэтому невозможно сказать, на какую угрозу он вел.</p> <p> «Лаборатория Касперского» детектирует эту вредоносную программу как Trojan-Downloader.PHP.JScript.a и Trojan.JS.Redirector.px. Согласно Virus Total, на момент написания PHP-часть этого зловреда детектировалась только еще одним производителем антивирусного ПО. Что касается скрипта, внедренного в JS и HTML, соотношение находилось всего лишь на уровне 20%.</p> <p class="c"><a href="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2011/06/09154059/40538.png" target="_blank" rel="noopener noreferrer" class="magnificImage"><img decoding="async" src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2011/06/09154059/40538-300x128.png" border="0" alt=''></a></p> <p>Как защитить свой вебсайт от заражения такими зловредами и что делать, если он уже заражен?</p> <p>Два наиболее важных момента — это резервные копии и регулярная проверка всех файлов на сервере. Если вы используете osCommerce или любое другое решение e-Commerce, необходимо всегда проверять наличие программных обновлений и устанавливать их сразу после их выпуска. Иногда время между обнаружением уязвимости и выпуском патча может растянуться очень надолго, поэтому, возможно, стоит отказаться от некоторых функций с багами и удалить уязвимые файлы и сервера. Также стоит установить пароль для корневой директории, так как это предотвращает изменения файлов вредоносными программами.</p> </div> </div> </div> <div class="c-article__footer"> <div class="c-article__categories"> <ul class="c-list-tags"> <li><a href="https://securelist.ru/tag/vzlomy-veb-sajtov/" class="c-link-tag"><span>Взломы веб-сайтов</span></a></li> </ul> </div> <div class="c-article__authors u-hidden@md"> <p class="c-title--extra-small">Авторы</p> <ul class="c-list-authors"> <li> <a href="https://securelist.ru/author/marta/" > <img alt='' src='https://media.kasperskycontenthub.com/wp-content/uploads/sites/103/2021/06/10095238/avatar_def-30x30.png' srcset='https://media.kasperskycontenthub.com/wp-content/uploads/sites/103/2021/06/10095238/avatar_def-60x60.png 2x' class='avatar avatar-30 photo' height='30' width='30' loading='lazy' decoding='async'/> <span>Марта Янус</span></a> </li> </ul> </div> </div> <div id="comments" class="entry-comments c-article__comments js-comments-wrapper"> <p class="c-title--extra-small">Опасные краски</p> <div id="respond" class="comment-respond"> <h3 id="reply-title" class="u-hidden"> <small></small></h3><form action="https://securelist.ru/wp-comments-post.php" method="post" id="loginform" class="comment-form"><p class="comment-notes"><span id="email-notes">Ваш e-mail не будет опубликован.</span> <span class="required-field-message">Обязательные поля помечены <span class="required">*</span></span></p><div class="comment-form-comment"><textarea id="comment" name="comment" style="width:100%" rows="8" aria-required="true" placeholder="Введите свой комментарий"></textarea></div><p class="comment-form-author"><label for="author">Имя <span class="required">*</span></label> <input id="author" name="author" type="text" value="" size="30" maxlength="245" autocomplete="name" required="required" /></p> <p class="comment-form-email"><label for="email">E-mail <span class="required">*</span></label> <input id="email" name="email" type="text" value="" size="30" maxlength="100" aria-describedby="email-notes" autocomplete="email" required="required" /></p> <script type="text/javascript"> document.addEventListener("input", function (event) { if (!event.target.closest("#comment")) return; try{ grecaptcha.render("recaptcha-submit-btn-area", { "sitekey" : "6LfQdrAaAAAAAEb_rTrwlbyc8z0Fa9CMjELY_2Ts", "theme" : "standard" }); }catch(error){/*possible duplicated instances*/} }); </script> <script src="https://www.google.com/recaptcha/api.js?hl=ru&render=explicit" async defer></script> <div id="recaptcha-submit-btn-area"> </div> <noscript> <style type="text/css">#form-submit-save {display:none;}</style> <input name="submit" type="submit" id="submit-alt" tabindex="6" value="Submit Comment"/> </noscript> <p class="form-submit"><input name="submit" type="submit" id="commentsubmit" class="submit" value="Ответить" /><a rel="nofollow" id="cancel-comment-reply-link" href="/opasny-e-kraski/8944/#respond" style="display:none;">Cancel</a> <input type='hidden' name='comment_post_ID' value='8944' id='comment_post_ID' /> <input type='hidden' name='comment_parent' id='comment_parent' value='0' /> </p><p style="display: none;"><input type="hidden" id="akismet_comment_nonce" name="akismet_comment_nonce" value="7790efda18" /></p> <input type="hidden" id="NgbyW6dRreBVGnPtbCnbR7pxV" name="6P1nD4H2MUNiYZ9leR4Sbd02n" /><p style="display: none !important;"><label>Δ<textarea name="ak_hp_textarea" cols="45" rows="8" maxlength="100"></textarea></label><input type="hidden" id="ak_js_1" name="ak_js" value="39"/><script>document.getElementById( "ak_js_1" ).setAttribute( "value", ( new Date() ).getTime() );</script></p></form> </div> </div> </div> <div class="o-col c-article__sidebar c-widgets--distributed u-hidden u-flex@md"> <div class="c-widget__wrapper"> <div class="js-sticky-widget"> <p><span class="c-tag c-tag--primary">От тех же авторов</span></p> <div class="o-row o-row--small-gutters"> <div class="o-col-12 c-card__dividers c-card__dividers--hide-first@xs c-card__dividers--show-last@xs"> <article class="c-card c-card--hor-reverse@xs u-items-center"> <a href="https://securelist.ru/bolshaya-igra-setevye-ustrojstva-pod-pricelom/25648/" class="c-card__figure" style=""> <img width="500" height="351" src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2014/08/09090510/smhouse_pr.jpg" class="attachment-securelist-2020-thumbnail size-securelist-2020-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" srcset="" sizes="(max-width: 500px) 100vw, 500px" data-src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2014/08/09090510/smhouse_pr.jpg" data-srcset="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2014/08/09090510/smhouse_pr.jpg 500w, https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2014/08/09090510/smhouse_pr-300x211.jpg 300w" /> </a> <div class="c-card__body"> <header class="c-card__header"> <h3 class="c-card__title"><a href="https://securelist.ru/bolshaya-igra-setevye-ustrojstva-pod-pricelom/25648/" class="c-card__link">Большая игра: сетевые устройства под прицелом</a></h3> </header> </div> </article> </div> <div class="o-col-12 c-card__dividers c-card__dividers--hide-first@xs c-card__dividers--show-last@xs"> <article class="c-card c-card--hor-reverse@xs u-items-center"> <a href="https://securelist.ru/novy-j-rutkit-dlya-64-razryadnoj-sistemy-linux/3572/" class="c-card__figure" style=""> <img width="800" height="450" src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2018/11/11161454/securelist_abs_9-800x450.jpg" class="attachment-securelist-2020-thumbnail size-securelist-2020-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" data-src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2018/11/11161454/securelist_abs_9-800x450.jpg" data-srcset="" srcset="" /> </a> <div class="c-card__body"> <header class="c-card__header"> <h3 class="c-card__title"><a href="https://securelist.ru/novy-j-rutkit-dlya-64-razryadnoj-sistemy-linux/3572/" class="c-card__link">Новый руткит для 64-разрядной системы Linux: внедрение iframe</a></h3> </header> </div> </article> </div> <div class="o-col-12 c-card__dividers c-card__dividers--hide-first@xs c-card__dividers--show-last@xs"> <article class="c-card c-card--hor-reverse@xs u-items-center"> <a href="https://securelist.ru/etot-sajt-mozhet-prichinit-vred-vashemu-kompyuteru-kak-raspoznat-i-predotvratit-zarazhenie-veb-sajtov/22970/" class="c-card__figure" style=""> <img width="800" height="450" src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2018/11/11161453/securelist_abs_10-800x450.jpg" class="attachment-securelist-2020-thumbnail size-securelist-2020-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" data-src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2018/11/11161453/securelist_abs_10-800x450.jpg" data-srcset="" srcset="" /> </a> <div class="c-card__body"> <header class="c-card__header"> <h3 class="c-card__title"><a href="https://securelist.ru/etot-sajt-mozhet-prichinit-vred-vashemu-kompyuteru-kak-raspoznat-i-predotvratit-zarazhenie-veb-sajtov/22970/" class="c-card__link">«Этот сайт может причинить вред вашему компьютеру». Как распознать и предотвратить заражение веб-сайтов</a></h3> </header> </div> </article> </div> <div class="o-col-12 c-card__dividers c-card__dividers--hide-first@xs c-card__dividers--show-last@xs"> <article class="c-card c-card--hor-reverse@xs u-items-center"> <a href="https://securelist.ru/runforestrun-gootkit-and-random-domain-name-generation/3268/" class="c-card__figure" style=""> <img width="800" height="450" src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2018/11/11161440/securelist_abs_12-800x450.jpg" class="attachment-securelist-2020-thumbnail size-securelist-2020-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" data-src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2018/11/11161440/securelist_abs_12-800x450.jpg" data-srcset="" srcset="" /> </a> <div class="c-card__body"> <header class="c-card__header"> <h3 class="c-card__title"><a href="https://securelist.ru/runforestrun-gootkit-and-random-domain-name-generation/3268/" class="c-card__link">«RunForestRun», «gootkit» и генерирование случайных доменных имен</a></h3> </header> </div> </article> </div> <div class="o-col-12 c-card__dividers c-card__dividers--hide-first@xs c-card__dividers--show-last@xs"> <article class="c-card c-card--hor-reverse@xs u-items-center"> <a href="https://securelist.ru/golovy-gidry-vredonosnoe-po-dlya-setev/60/" class="c-card__figure" style=""> <img width="800" height="450" src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2018/11/11161440/securelist_abs_2-800x450.jpg" class="attachment-securelist-2020-thumbnail size-securelist-2020-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" data-src="https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2018/11/11161440/securelist_abs_2-800x450.jpg" data-srcset="" srcset="" /> </a> <div class="c-card__body"> <header class="c-card__header"> <h3 class="c-card__title"><a href="https://securelist.ru/golovy-gidry-vredonosnoe-po-dlya-setev/60/" class="c-card__link">Головы Гидры. Вредоносное ПО для сетевых устройств</a></h3> </header> </div> </article> </div> </div> </div> </div> <div class="c-widget__wrapper"> <div class="c-widget-subscribe js-sticky-widget"> <div class="c-block__header"> <h5 class="c-title--small">Подпишитесь на еженедельную рассылку</h5> <p>Самая актуальная аналитика – в вашем почтовом ящике</p> </div> <div class="c-form--float-labels js-float-labels"> <script type="text/javascript"></script> <div class='gf_browser_safari gf_browser_iphone gform_wrapper gform_wrapper_original_id_15 subscribe-mc_wrapper gform_legacy_markup_wrapper' id='gform_wrapper_1858429201' ><div id='gf_1858429201' class='gform_anchor' tabindex='-1'></div><form method='post' enctype='multipart/form-data' target='gform_ajax_frame_1858429201' id='gform_1858429201' class='subscribe-mc gform_legacy_markup' action='/opasny-e-kraski/8944/#gf_1858429201' > <div class="gform-content-wrapper"><div class='gform_body gform-body'><ul id='gform_fields_1858429201' class='gform_fields top_label form_sublabel_below description_below'><li id="field_15_1" class="gfield gfield_contains_required field_sublabel_below field_description_below gfield_visibility_visible" ><label class='gfield_label screen-reader-text' for='input_1858429201_1' >Email<span class="gfield_required"><span class="gfield_required gfield_required_asterisk">*</span></span></label><div class='ginput_container ginput_container_email'> <input name='input_1' id='input_1858429201_1' type='text' value='' class='medium' placeholder='Email' aria-required="true" aria-invalid="false" /> </div></li><li id="field_15_3" class="gfield js-kaspersky-gform-recaptcha-placeholder gform_hidden field_sublabel_below field_description_below gfield_visibility_hidden" ><div class='ginput_container ginput_container_text'><input name='input_3' id='input_1858429201_3' type='hidden' class='gform_hidden' aria-invalid="false" value='' /></div></li><li id="field_15_2" class="gfield input-without-label label-gdpr gfield_contains_required field_sublabel_below field_description_below gfield_visibility_visible" ><label class='gfield_label screen-reader-text gfield_label_before_complex' ><span class="gfield_required"><span class="gfield_required gfield_required_asterisk">*</span></span></label><div class='ginput_container ginput_container_checkbox'><ul class='gfield_checkbox' id='input_1858429201_2'><li class='gchoice gchoice_15_2_1'> <input class='gfield-choice-input' name='input_2.1' type='checkbox' value='I agree' id='choice_1858429201_15_2_1' /> <label for='choice_1858429201_15_2_1' id='label_1858429201_15_2_1'>Я согласен(а) предоставить мой адрес электронной почты АО “Лаборатория Касперского“, чтобы получать уведомления о новых публикациях на сайте. Я могу отозвать свое согласие в любое время, нажав на кнопку “отписаться” в конце любого из писем, отправленных мне по вышеуказанным причинам.</label> </li></ul></div></li></ul></div> <div class='gform_footer top_label'> <button type="submit" class="gform_button button" id='gform_submit_button_1858429201' value="Регистрация"> <svg class="o-icon o-svg-icon o-svg-large"><use xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="https://securelist.ru/wp-content/themes/securelist2020/assets/sprite/icons.svg#icon-envelope"></use></svg> <span>Подписаться</span> </button> <input type='hidden' name='gform_ajax' value='form_id=15&title=&description=&tabindex=0' /> <input type='hidden' class='gform_hidden' name='is_submit_15' value='1' /> <input type='hidden' class='gform_hidden' name='gform_submit' value='15' /> <input type='hidden' class='gform_hidden' name='gform_unique_id' value='' /> <input type='hidden' class='gform_hidden' name='state_15' value='WyJbXSIsImIwODQwZTA2ZGQ0NzYwODcyOTBkZjNmZDM1NDk2Y2ZkIl0=' /> <input type='hidden' class='gform_hidden' name='gform_target_page_number_15' id='gform_target_page_number_1858429201_15' value='0' /> <input type='hidden' class='gform_hidden' name='gform_source_page_number_15' id='gform_source_page_number_1858429201_15' value='1' /> <input type='hidden' name='gform_random_id' value='1858429201' /><input type='hidden' name='gform_field_values' value='securelist_2020_form_location=sidebar' /> </div> </div><p style="display: none !important;"><label>Δ<textarea name="ak_hp_textarea" cols="45" rows="8" maxlength="100"></textarea></label><input type="hidden" id="ak_js_2" name="ak_js" value="53"/><script>document.getElementById( "ak_js_2" ).setAttribute( "value", ( new Date() ).getTime() );</script></p></form> </div> <iframe style='display:none;width:0px;height:0px;' src='about:blank' name='gform_ajax_frame_1858429201' id='gform_ajax_frame_1858429201' title='This iframe contains the logic required to handle Ajax powered Gravity Forms.'>

Последние публикации

Отчеты

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

«Лаборатория Касперского» проанализировала APT-фреймворк CloudWizard, используемый в зоне российско-украинского конфликта.

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Опасные краски

Банкер QBot распространяется через деловую переписку

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В репозитории PyPI найдено еще два вредоносных пакета Python

LofyLife: вредоносные npm-пакеты для кражи токенов Discord и данных банковских карт

Уязвимость CVE-2022-30190 (Follina) в MSDT: описание и противодействие

Последние публикации

Злой двойник Telegram атакует китайских пользователей

Развитие информационных угроз во втором квартале 2023 года. Мобильная статистика

Развитие информационных угроз во втором квартале 2023 года

Развитие информационных угроз во втором квартале 2023 года. Статистика по ПК

Отчеты

Техники, тактики и процедуры атак на промышленные компании

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

APT-угроза CloudWizard: история CommonMagic продолжается

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

Подпишитесь на еженедельную рассылку