ГлавнаябезопасностьКампания Duri распространяет вредоносное ПО через HTML и JavaScript.

Кампания Duri распространяет вредоносное ПО через HTML и JavaScript.

В новой кампании атаки используется комбинация методов контрабанды HTML и больших двоичных объектов данных для предотвращения обнаружения и загрузки вредоносных программ. Кампания, названная Duri, использует метод JavaScript blob, который создает вредоносный файл в веб-браузере, избегая, таким образом, сканирования песочницы и прокси.

«Традиционные решения сетевой безопасности, такие как прокси, межсетевые экраны и песочница основаны на передаче объектов по кабелю. Например, песочница может извлекать из кабеля файловые объекты, такие как .exe, .zip и другие подозрительные объекты, а затем отправлять их в песочница для детонации », - говорится в отчете, опубликованном Menlo Security.

Duri вредоносное ПО HTML Javascript

Однако Дури использует особую технику, известную как «контрабанда HTML».

В июле следователи Menlo Security заметили, что в их браузере была заблокирована подозрительная загрузка.

При ближайшем рассмотрении они обнаружили, что источником файла был не URL-адрес, а результат кода JavaScript, который неправильно вставил полезную нагрузку в свой компьютер. жертва.

Что такое контрабанда HTML?

Контрабанда HTML использует комбинацию JavaScript, HTML5 и связанных с ним технологий, таких как "data:" URL-адреса, для генерации полезных данных на ходу и загрузки сервисов из браузервместо прямого URL-адреса, который «показывает» сервер.

«В Duri вся полезная нагрузка создается заказчиком (браузером), поэтому никакие объекты не передаются по кабелю, и поэтому песочница проверяется», - говорится в отчете Менло.

Тем, кому интересно, Стэн Хегт из Outflank прекрасно объясняет эту технику.

Используя образец документа Word, загруженного с макросом (.doc), Хегт показал, как файл может быть полностью создан на JavaScript и как системы сканирования на основе периметра полагаются исключительно на расширение файла не будет подозревать, что файл HTML является вредоносным.

В случае Duri, когда пользователь нажимает на ссылку, предоставленную злоумышленником, многие перенаправления приводят его на HTML-страницу, размещенную на duckdns.org.

Затем этот сайт запускает код JavaScript для создания объекта «blob» из переменной кодировки base64, содержащейся в сценарии.

Разделенная полезная нагрузка Duri

Как показано, ZIP-файл создается только из кода JavaScript. В конце выполнения сценарий запрашивает загрузку этого файла в веб-браузер.

Интересно, что в ZIP-архиве содержится файл MSI, который не является новой полезной нагрузкой.

В отчете Menlo говорится: «Вредоносное ПО, которое загружает Duri, не ново. Согласно Cisco, ранее он поставлялся через Dropbox, но злоумышленники теперь вытеснили Dropbox другими провайдерами. Облако хостинг и были включены в технику контрабанды HTML для заражения конечных точек ».

Исследователи проанализировали файл MSI и обнаружили темный JScript.

В их отчете представлен подробный анализ кампании Duri компании вместе с используемым подходом к обнаружению Zero Trust и длинным списком индикаторов компрометации (IoC), связанных с кампанией.

Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ