隨著互聯(lián)網(wǎng)信息時代的迅速發(fā)展,網(wǎng)絡(luò)已經(jīng)成為現(xiàn)代人生活中的一部分,電腦、筆記本等終端作為人們走進(jìn)網(wǎng)絡(luò)的工具之一,雖然能夠為用戶帶來諸多便利,但是也依然會存在安全隱患,那么殺毒軟件哪個好?電腦中毒了怎么辦?360安全衛(wèi)士就是一名優(yōu)秀的“保衛(wèi)者”。
近日360安全大腦監(jiān)測到一批通過網(wǎng)頁檢測用戶行為,竊取網(wǎng)民信息的竊密程序。攻擊者利用虛假色情網(wǎng)站,通過在其網(wǎng)頁中植入Cloud9 JavaScript Botnet 來控制用戶瀏覽器,之后竊取瀏覽器Cookie、進(jìn)行鍵盤記錄、發(fā)起挖礦,甚至利用用戶電腦發(fā)起DDoS攻擊并通過遠(yuǎn)程投遞漏洞利用代碼執(zhí)行載荷進(jìn)而完全控制用戶電腦。
Cloud9 JavaScript Botnet是一個基于JavaScript腳本的多功能遠(yuǎn)程控制程序(RAT),該惡意軟件早在2017就已經(jīng)出現(xiàn)在黑客論壇(https://hackforums.net)上。攻擊者通常使用網(wǎng)頁掛馬的方式傳播,但也有一些攻擊者會通過偽裝成正常瀏覽器擴(kuò)展來進(jìn)行傳播。下圖展示了,某站點頁面引入惡意JS文件campaign.js (Cloud9 Botnet)
01鍵盤記錄
campaign.js被加載后首先會檢測操作系統(tǒng)及瀏覽器,識別瀏覽器類型后腳本使用 onkeypress 事件添加一個新的事件監(jiān)聽器,當(dāng)按下鍵盤按鍵時會觸發(fā)該事件,相應(yīng)的按鍵值就會賦到一個變量中。鍵盤記錄數(shù)據(jù)以及當(dāng)前網(wǎng)頁上“表單”數(shù)據(jù)都會被發(fā)送到 C&C,用戶在被插入惡意代碼頁面中的按鍵操作,都將被黑客記錄。
02遠(yuǎn)控控制
JS文件在 30 秒超時后調(diào)用pingHome函數(shù),該函數(shù)向 C&C 發(fā)送 GET 請求獲取控制端返回的命令。并根據(jù)返回結(jié)果執(zhí)行進(jìn)一步功能。
該惡意軟件根據(jù)接收到的命令所能執(zhí)行的主要功能有:
l FTP Flood攻擊
l Cookie竊取
l 鍵盤記錄
l 向指定站點發(fā)送 POST 請求
l POST Flood攻擊
l 執(zhí)行指定JavaScript 代碼
l 靜默加載網(wǎng)頁(廣告頁面)
l 執(zhí)行頁面挖礦
l 點擊劫持(iframe 跟隨鼠標(biāo))
l 發(fā)送漏洞利用攻擊,如:
n CVE_2016_0189(IE瀏覽器)
n CVE_2014_6332
n CVE-2016-7200(Edge瀏覽器)
l 4/7層混合DDos攻擊(隨機(jī)大小 POST Flood攻擊)
03部分受控功能說明
數(shù)據(jù)竊取
攻擊者會竊取瀏覽器 Cookie、獲取剪切板數(shù)據(jù)并發(fā)送回傳:
漏洞利用攻擊
攻擊者使用了CVE_2016_0189 、CVE_2014_6332 、CVE-2016-7200漏洞利用代碼,對不同瀏覽器發(fā)起攻擊:
DDoS攻擊
JS執(zhí)行后可以向任何地址發(fā)送 POST 請求。如果攻擊者控制大量用戶瀏覽器,則可以發(fā)起大規(guī)模的DDoS 攻擊。
其他功能
還包括如點擊劫持、破解 MD5/SHA1 哈希以及執(zhí)行 C&C 服務(wù)器下發(fā)的任意JS腳本。
04總結(jié)
Cloud9 Botnet售賣者還提供了控制臺模塊,攻擊者利用控制臺能夠?qū)崿F(xiàn)對被攻擊設(shè)備的管理,其部分功能包括:命令功能示例、當(dāng)前執(zhí)行任務(wù)、捕獲日志、編輯執(zhí)行任務(wù)、在線Bot列表、網(wǎng)絡(luò)日志。
感染此類惡意擴(kuò)展或無意中訪問到這類站點,不僅會泄露隱私,還可能造成瀏覽器被迫挖礦,成為攻擊的“肉雞”發(fā)動各類攻擊。更有風(fēng)險被投遞漏洞攻擊代碼,造成整個電腦被黑客控制。
對于此類攻擊,建議用戶開啟安全軟件的網(wǎng)頁防護(hù)功能,避免在不知情情況下,電腦被攻擊。
05安全建議
360安全大腦提醒:
1. 不要隨意打開陌生人發(fā)布的鏈接,對于安全軟件攔截的網(wǎng)站不要繼續(xù)訪問。
2. 安裝瀏覽器擴(kuò)展選擇官方或者大的平臺渠道安裝。
3. 對于來路不明的擴(kuò)展及時禁用或刪除。
4. 懷疑被感染的設(shè)備,可使用360終端安全進(jìn)行掃描查殺。
殺毒軟件哪個好?電腦中毒了怎么辦?360安全衛(wèi)士有足夠的能力守護(hù)電腦安全!作為國內(nèi)知名的“電腦管家”軟件之一,360安全衛(wèi)士不僅在殺毒方面有著出眾的表現(xiàn),同時在優(yōu)化、清理等方面也具備諸多優(yōu)點,能夠為每一位網(wǎng)絡(luò)用戶提供更好的安全網(wǎng)絡(luò)體驗。
