Browlock flies使用完全混淆技術繞過檢測
Browlocks是垃圾郵件活動技術支援的主要驅動力,使用惡意廣告和瀏覽器locker技術來欺騙使用者。事實上效果非常明顯,因為很多使用者相信自己的電腦被黑了,並撥打了偽造的微軟支援電話尋求幫助。
犯罪分子在不斷嘗試新的技術來抵制現代瀏覽器和繞過檢測。最近,研究人員發現一個 evil cursor 可以防止使用者關閉假的告警訊息,假的病毒下載會暗示使用者電腦已經被感染。此時,瀏覽器locker頁面用編碼技術來繞過基於簽名的檢測。
編碼和其他混淆型別
使用base64或十六進位制編碼來隱藏惡意指令碼是一種非常古老的技術。惡意軟體依賴這類技術來使惡意程式碼檢測對分析師和掃描器來說都變得非常困難。
技術支援垃圾郵件傳送者在瀏覽器locker模板中也使用了混淆技術。犯罪分子使用下面的十六進位制編碼偽裝了虛假的告警訊息:
但瀏覽器可以讀取和解碼十六進位制編碼的內容,並展示給使用者以下虛假告警訊息:
************************************************* RDN/YahLover.worm!055BCCAC9FEC Infection *************************************************
並不是所有的技術支援垃圾郵件browlock都使用混淆技術,但是使用混淆技術也逐漸變成隱藏程式碼的常用方式。但還沒有browlock頁完全編碼的情況還沒有見過。
Soup to nuts編碼
研究人員最近在Reddit上發現一個browlock模板進行了完全編碼技術,其原始碼非常簡單和有效:
從程式碼中可以提取出兩個JavaScript庫, Zepto.js 和base64.min.js。 Zepto.js 是適用於現代瀏覽器的最小JavaScript庫,含有大量適配jQuery的API。base64.min.js可以獲取Base64編碼的內容並在傳輸過程中解碼。但資料是從下面的GET請求載入的,而不是主頁:
毫無疑問,犯罪分子又一次和網路防禦者玩起了貓鼠遊戲。犯罪分子甚至建立了一個假的Google Analytics tracker ID: gtag(‘config’, ‘UA-8888888-x’),並使用了看起來非常向Google的域名maps-google[.]us。
對終端使用者來說,不管出現了什麼樣的告警訊息,第一是要保持平靜,在撥打垃圾郵件傳送者給出的熱線前再三檢查核對。Browlock並不會對計算機造成損害,而且有許多方式可以關閉。一些複雜的還需要用工作管理員來殺掉相關程序,因此研究人員也希望瀏覽器廠商能夠關注和解決這類的問題。