8资源分享论坛 - 资源分享,资源共享|www.8ziyuan.com

标题: 联通官网携带木马脚本 可向用户推广色情APP [打印本页]
作者: 唐章小小    时间: 2020-11-15 20:04
标题: 联通官网携带木马脚本 可向用户推广色情APP
本帖最后由 唐章小小 于 2020-11-15 20:08 编辑
  1. 原帖地址:https://www.52pojie.cn/thread-1302779-1-1.html

  3. 来自“火绒安全实验室”11月12日讯
复制代码


近期,火绒接到用户反馈,称在登录中国联通官网办理业务时被火绒报毒。火绒工程师查看后,发现中国联通官网携带木马脚本(Trojan/JS.Redirector)。当用户访问其中某“业务办理记录”页面时,即会激活木马脚本,导致用户被强行跳转到其他推广页面上,推广内容涉及色情、游戏等。不仅如此,该木马脚本还被设定为一天只跳转一次,降低用户警惕性,以便长期存留于该页面。

[attach]63215[/attach]


值得注意的是,联通官网的移动端和PC端都存在上述木马脚本,虽然强行跳转现象目前仅出现在移动端,但不排除未来出现在PC端的可能性。火绒用户无需担心,火绒安全软件可拦截该木马脚本和网页。

[attach]63216[/attach]

最后,为避免更多用户受该木马脚本影响,我们建议中国联通官方尽快排查上述问题。通过此次事件反映出内容审查和安全检测对官方平台的重要性,我们也希望能通过此次报告,引起相关平台开发人员、管理人员的重视,及时加强安全审查力度,保障广大用户安全。

附:【分析报告】

一、        详细分析

近期根据用户反馈,我们对联通官网中某页面代码进行分析,发现该页面中被植入了木马脚本(Trojan/JS.Redirector),该木马脚本逻辑执行后会控制用户当前页面跳转到色情、游戏等广告页面。脚本代码逻辑中控制了每天的访问次数,每天仅会访问一次。我们初步推测其控制服务器在下放广告链接时,也会对用户每天的访问次数进行限制。现阶段我们发现,在被植入相同代码的情况下,只有手机端浏览器可以复现跳转过程(控制服务器可能针对浏览器UA进行了判断),但是不排除PC端浏览器也会出现相同跳转行为的可能性。跳转流程,如下图所示:


[attach]63217[/attach]

跳转流程

跳转到的色情APP广告,如下图所示:


从联通官网页面跳转到的色情广告

联通官网“业务办理记录”页面代码,如下图所示:



[attach]63218[/attach]

联通官网“业务办理记录”页面代码

上图中的tj1.js木马脚本会先向控制服务器地址请求跳转相关的网址链接内容,之后控制当前页面进行跳转。tj1.js脚本内容,如下图所示:





[attach]63219[/attach]

请求tj1.js脚本内容

脚本内容,如下图所示:



[attach]63220[/attach]

木马脚本内容

链接存放页面返回结果,如下图所示:



[attach]63221[/attach]

代码执行流程

后续跳转流程,依次如下图所示:


[attach]63222[/attach]


第一次跳转



[attach]63223[/attach]

第二次跳转

[attach]63224[/attach]

第三次跳转



[attach]63225[/attach]

第四次跳转

[attach]63226[/attach]

最终跳转到色情APP广告页面

经过我们进一步溯源,上述木马脚本早在2016年10月份就已经在联通官网页面中出现。相关页面情况,如下图所示:



[attach]63227[/attach]

历史页面内容

有些用户可能会偶尔遇到,在访问网页时突然被跳转到其他广告页面的情况。我们通过火绒终端威胁情报系统发现,引用有相同木马脚本的站点并非只有联通官网,所以上述分析可能可以给用户遇到类似跳转现场提供参考依据。除前文中提到的色情广告外,现阶段监测到的部分其他被推广链接,如下图所示:



[attach]63228[/attach]

游戏广告



[attach]63229[/attach]

色情APP广告

二、        附录
样本hash



[attach]63230[/attach]





作者: 泪点是你    时间: 2020-11-15 21:04
谢谢分享保存起来了先
作者: ytffcudxv    时间: 2020-11-18 13:01
谢谢分享,很好的资源
作者: hanxiao129    时间: 2020-11-19 10:08
支持一下,谢谢分享了~
作者: xielijun1979q    时间: 2020-11-19 18:20
感谢你的分享,论坛有你更加的精彩
作者: Rtlners    时间: 2020-11-20 18:12
支持一下谢谢分享~
作者: 沵魡管眞寬♂    时间: 2020-11-20 21:49
前排支持 感谢分享;
作者: worthymanr    时间: 2020-11-21 18:46
很不错,试试看 谢谢分享
作者: -葬心葬爱°    时间: 2020-11-22 05:04
回帖一下以示尊敬
作者: 呼吸    时间: 2020-11-22 16:44
资源可用谢谢分享!
作者: 請把小熊还给我    时间: 2020-11-22 21:14
多谢分享
作者: Comuley    时间: 2020-11-24 04:38
感谢楼主分享,辛苦了
作者: 作践自己    时间: 2020-11-24 08:55
我来试试看,看上去很好用的样子
作者: myqyx819q    时间: 2020-11-24 20:19
谢谢分享,前来试试
作者: zhaoyafeiz    时间: 2020-11-25 16:25
正需要,感谢楼主分享了
作者: fuyuyu    时间: 2020-11-25 20:58
感谢分享,论坛有你更精彩
作者: 云随风2019    时间: 2020-12-3 06:08
好东西谢谢楼主分享
作者: mtvcomg    时间: 2021-1-13 04:07
多谢终于找到了
作者: 爱⌒轻易说出口    时间: 2021-1-13 06:16
很不错,试试看 谢谢分享
作者: 铷裹鰅見妳    时间: 2021-1-13 08:06
回帖一下以示尊敬哦
作者: 无条件、投降    时间: 2021-1-13 09:52
感谢分享,很用心了的说
作者: 相许    时间: 2021-1-13 11:44
强烈感谢收藏了



欢迎光临 8资源分享论坛 - 资源分享,资源共享|www.8ziyuan.com (https://www.8ziyuan.com/) Powered by Discuz! X3.4