美国政府网站发现JS下载器 攻击者利用网站高信誉度用于投放Cerber勒索软件

简介:

网络安全公司NewSky Security的研究员Ankit Anubhav上周发现一美国政府网站存在一个恶意JavaScript下载器,可投放非常危险的 Cerber勒索软件 

ankit.png

NewSky Security 公司的研究员 Ankit Anubhav 称 

“ 美国政府网站上存在的 JavaScript 恶意软件会启动 PowerShell 连接 C&C服务器。 

下载文件伪装为gif文件 实际是Cerber勒索软件

该网站提供.zip文件,该文件存在一个含有模糊化的PowerShell的JavaScript。PowerShell会下载一个.gif文件,实则为Cerber勒索软件的可执行文件。以下是该.zip文件的链接:

hxxp://dms(dot)nwcg(dot)gov/pipermail/ross-suggestion/attachments/20170304/9ee8a89e/attachment.zip

下载器在周三被发现,数小时之后恶意代码被移除。目前尚不清楚攻击者是如何在.gov网站上安装恶意代码的以及到底多少访客受到影响。

Anubhav认为该网站遭遇了入侵,或许该网站存储的政府官方邮件附件可能附带恶意软件。他强调指出这一情况与在年初Blank Slate垃圾邮件活动有相似性,那次活动中也传播了Cerber勒索软件。诈骗者在此次活动中利用了一个双重压缩文件,第二次的压缩文件附带恶意JavaScript文件或Microsoft Word文档。 SANS 的分析报告指出 

“ 有意思的是 , 此次活动中利用的文件附件是双重压缩的 , 即 ZIP 文件中还嵌套另一个 ZIP 文件。在嵌套的 ZIP 文件中 , 您会发现一份恶意的 JavaScript (.js) 文件或 Microsoft Word 文档。这些文件用于让计算机感染恶意软件。 

“Blank Slate 推送各种勒索软件 , 而此次活动中主要推送 Cerber勒索软件 。 

报告称攻击者利用美国政府网站的高信誉度传播勒索软件

Anubhav和来自西班牙电信运营商Telefonica的Mariano Palomo Villafranca联合发布分析报告称,享有盛誉的网站,如上述提及的存在恶意软件的美国政府网站,是诈骗者的高优先级攻击向量。 该分析报告称,

安全解决方案通常会将整个 IP 地址范围添加至黑名单 , 确保潜在目标不会遭遇此类攻击 ( 因为站点在用户访问前会被阻断 ) 。为了应对这一防护措施,攻击者专注于将恶意软件投放至合法位置,如 Google 文档或一般被认为或被证实为无恶意内容的正常网站。因此,对于攻击者来说非常理想情况就是在政府网站上投放恶意软件。

在一个攻击场景中,受害人会收到包含该.zip文件的页面的链接。一旦受害人点击了该链接,被模糊处理的JavaScript会被提取,启动PowerShell,导致从攻击者入侵的已知域名中下载恶意软件。

us%20gov%20zip.png

该分析报告指出,.gif可执行文件是一个NSIS安装程序,用于提取Cerber JSON文件配置。目前该链接已下线。然而,当我们分析归档数据时,我们发现该特定Payload为哈希值为“SHA256 1f15415da53df8a8e0197aa7e17e594d24ea6d7fbe80fe3bb4a5cd41bc8f09f6”的Cerber勒索软件。



原文发布时间:2017年9月5日

本文由:securityaffairs 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/us-gov-website-cerber

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关文章
|
24天前
|
JavaScript 安全 前端开发
js开发:请解释什么是XSS攻击和CSRF攻击,并说明如何防范这些攻击。
XSS和CSRF是两种常见的Web安全威胁。XSS攻击通过注入恶意脚本盗取用户信息或控制账户,防范措施包括输入验证、内容编码、HTTPOnly Cookie和CSP。CSRF攻击则诱使用户执行未经授权操作,防范手段有CSRF Tokens、双重验证、Referer检查和SameSite Cookie属性。开发者应采取这些防御措施并定期进行安全审计以增强应用安全性。
18 0
|
26天前
|
数据采集 存储 JavaScript
赋能数据收集:从机票网站提取特价优惠的JavaScript技巧
使用JavaScript和爬虫代理IP,旅游行业可高效抓取机票特价信息。通过模拟不同地区用户,提升数据收集成功率,全面了解市场动态。数据存储到数据库后进行统计分析,助力企业把握用户需求和市场趋势优化决策。
赋能数据收集:从机票网站提取特价优惠的JavaScript技巧
|
3月前
|
存储 JavaScript 前端开发
只使用简单的 JavaScript 创建文件共享型网站
只使用简单的 JavaScript 创建文件共享型网站
39 0
只使用简单的 JavaScript 创建文件共享型网站
|
6月前
|
前端开发 JavaScript
Javascript知识【案例:网站换肤&案例:图片放大】
Javascript知识【案例:网站换肤&案例:图片放大】
|
4月前
|
JavaScript 测试技术
【sgGoogleTranslate】自定义组件:基于Vue.js用谷歌Google Translate翻译插件实现网站多国语言开发
【sgGoogleTranslate】自定义组件:基于Vue.js用谷歌Google Translate翻译插件实现网站多国语言开发
|
3月前
|
数据采集 JavaScript 前端开发
如何使用JS逆向爬取网站数据
如何使用JS逆向爬取网站数据
|
5月前
|
JavaScript 前端开发 安全
JavaScript安全性分析:了解常见的Web安全问题和防范攻击手段
JavaScript安全性分析:了解常见的Web安全问题和防范攻击手段
|
9月前
|
数据采集 JavaScript 前端开发
使用JavaScript和Vue.js框架开发的电子商务网站,实现商品展示和购物车功能
使用JavaScript和Vue.js框架开发的电子商务网站,实现商品展示和购物车功能
|
10月前
|
安全 JavaScript 前端开发
针对Node.js生态系统的隐藏属性滥用攻击
在本文中,通过对 Node.js 程序中客户端和服务器端代码之间的通信过程进行首次系统研究来填补这一空白。本文广泛地识别了流行的 Node.js 程序中的几个新漏洞。为了证明它们的安全含义,本研究设计并开发了一种新颖的可行攻击,称为隐藏属性滥用 (HPA,hidden property abusing)。进一步分析表明,HPA 攻击与现有的关于利用和攻击效果的调查结果略有不同。通过 HPA 攻击,远程 Web 攻击者可以获得危险的能力,例如窃取机密数据、绕过安全检查和发起 DoS(拒绝服务)攻击。
68 0
|
10月前
|
存储 缓存 JavaScript
从JavaScript发起同步多行Rowhammer攻击
本文构建了SMASH(Synchronized MAny-Sided Hammering),这是一种在现代 DDR4 系统上从 JavaScript 成功触发 Rowhammer 位翻转的技术。 为了发起有效的攻击,SMASH 利用缓存替换策略的高级知识为基于驱逐的多行Rowhammer 生成最佳访问模式。 为了取消对大型物理连续内存区域的要求,SMASH 将n行 Rowhammer 分解为多个双行对,使用切片着色来识别它们。 最后,为了绕过 DRAM TRR 缓解措施,SMASH 仔细安排缓存命中和未命中,以成功触发同步的多行 Rowhammer 位翻转。
61 0