By HireHackking in HACKER
· 4 views
安全研究人員查看Parrot 流量引導系統(TDS) 使用的10,000 多個腳本後,發現逐漸優化的演變過程使惡意代碼對安全機制更加隱蔽。
Parrot TDS 於2022 年4 月被網絡安全公司發現,自2019 年以來一直活躍。主要針對易受攻擊的WordPress 和Joomla 網站,使用JavaScript 代碼將用戶重定向到惡意位置。
研究人員分析,Parrot 已經感染了至少16,500 個網站,是一次大規模的惡意操作。
Parrot 背後的運營商將流量出售給威脅組織,威脅組織將其用於訪問受感染網站的用戶,以進行分析並將相關目標重定向到惡意目的地,例如網絡釣魚頁面或傳播惡意軟件的位置。
不斷演變的惡意軟件Palo Alto Networks 的Unit 42 團隊最近發布的一份報告顯示,Parrot TDS 仍然非常活躍,並且JavaScript 注入更難以檢測和刪除。
Unit 42 分析了2019 年8 月至2023 年10 月期間收集的10,000 個Parrot 登陸腳本。研究人員發現了四個不同的版本,顯示了混淆技術使用的進展。
Parrot 的登陸腳本有助於用戶分析,並強制受害者的瀏覽器從攻擊者的服務器獲取有效負載腳本,從而執行重定向。
Parrot 攻擊鏈
據研究人員稱,Parrot TDS 活動中使用的腳本是通過代碼中的特定關鍵字來識別的,包括“ ndsj ”、“ ndsw ”和“ ndsx ”。
Unit 42 注意到,所檢查樣本中大多數感染已轉移到最新版本的登陸腳本中,佔總數的75%,其中18% 使用以前的版本,其餘運行較舊的腳本。
所檢查樣本中的登陸腳本版本份額
與舊版本相比,第四版登陸腳本引入了以下增強功能:
複雜代碼結構和編碼機制的增強混淆;
不同的數組索引和處理會破壞模式識別和基於簽名的檢測;
字符串和數字處理的變化,包括它們的格式、編碼和處理;
儘管增加了額外的混淆層和代碼結構的變化,V4登陸腳本的核心功能仍然與之前的版本保持一致;
它的主要目的仍然是分析受害者的環境,並在滿足條件時啟動有效負載腳本的檢索。
登陸腳本版本3
關於負責執行用戶重定向的有效負載腳本,Unit 42 發現了九個變體。除了一些人執行的輕微混淆和目標操作系統檢查之外,這些大多是相同的。
在70% 的觀察到的案例中,威脅行為者使用有效負載腳本版本2,該腳本不具有任何混淆功能。
有效負載腳本版本2
版本4-5 中添加了混淆層,版本6 至9 中變得更加複雜。但是,這些版本很少出現在受感染的站點中。
10,000 個站點樣本中看到的有效負載腳本版本
總體而言,Parrot TDS 仍然是一種活躍且不斷演變的威脅,並且正變得更加難以捉摸。
建議用戶在其服務器上搜索流氓php 文件,掃描ndsj、ndsw 和ndsx 關鍵字,使用防火牆阻止Webshell 流量,並使用URL 過濾工具阻止已知的惡意URL 和IP。
Recommended Comments