Parrot TDS将用户重定向到恶意位置
2024-2-23 15:42:20 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

安全人员查看 Parrot 流量引导系统 (TDS) 使用的 10000 多个脚本后,发现逐渐优化的演变过程使恶意代码对安全机制更加隐蔽。

Parrot TDS 于 2022 年 4 月被网络安全公司发现,自 2019 年以来一直活跃。主要针对易受攻击的 WordPress 和 Joomla 网站,使用 JavaScript 代码将用户重定向到恶意位置。

研究人员分析,Parrot 已经感染了至少 16500 个网站,是一次大规模的恶意操作。

Parrot 背后的运营商将流量出售给威胁组织,威胁组织将其用于访问受感染网站的用户,以进行分析并将相关目标重定向到恶意目的地,例如网络钓鱼页面或传播恶意软件的位置。

Palo Alto Networks 的 Unit 42 团队最近发布的一份报告显示,Parrot TDS 仍然非常活跃,并且 JavaScript 注入更难以检测和删除。

Unit 42 分析了 2019 年 8 月至 2023 年 10 月期间收集的 10000 个 Parrot 登陆脚本。研究人员发现了四个不同的版本,显示了混淆技术使用的进展。

Parrot 的登陆脚本有助于用户分析,并强制受害者的浏览器从攻击者的服务器获取有效负载脚本,从而执行重定向。

Parrot 攻击链

据研究人员称,Parrot TDS 活动中使用的脚本是通过代码中的特定关键字来识别的,包括“ ndsj ”、“ ndsw ”和“ ndsx ”。

Unit 42 注意到,所检查样本中大多数感染已转移到最新版本的登陆脚本中,占总数的 75%,其中 18% 使用以前的版本,其余运行较旧的脚本。

所检查样本中的登陆脚本版本份额

与旧版本相比,第四版登陆脚本引入了以下增强功能:

复杂代码结构和编码机制的增强混淆;

不同的数组索引和处理会破坏模式识别和基于签名的检测;

字符串和数字处理的变化,包括它们的格式、编码和处理;

尽管增加了额外的混淆层和代码结构的变化,V4登陆脚本的核心功能仍然与之前的版本保持一致;

它的主要目的仍然是分析受害者的环境,并在满足条件时启动有效负载脚本的检索。

登陆脚本版本 3

关于负责执行用户重定向的有效负载脚本,Unit 42 发现了九个变体。除了一些人执行的轻微混淆和目标操作系统检查之外,这些大多是相同的。

在 70% 的观察到的案例中,威胁行为者使用有效负载脚本版本 2,该脚本不具有任何混淆功能。

有效负载脚本版本 2

版本 4-5 中添加了混淆层,版本 6 至 9 中变得更加复杂。但是,这些版本很少出现在受感染的站点中。

10000 个站点样本中看到的有效负载脚本版本

总体而言,Parrot TDS 仍然是一种活跃且不断演变的威胁,并且正变得更加难以捉摸。

建议用户在其服务器上搜索流氓 php 文件,扫描 ndsj、ndsw 和 ndsx 关键字,使用防火墙阻止 Webshell 流量,并使用 URL 过滤工具阻止已知的恶意 URL 和 IP。

参考及来源:

https://www.bleepingcomputer.com/news/security/malicious-web-redirect-scripts-stealth-up-to-hide-on-hacked-sites/

原文来源:嘶吼专业版
“投稿联系方式:孙中豪 010-82992251   [email protected]


文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg==&mid=2247542356&idx=3&sn=cdf9ff24996707ae7d60ea6892c37c94&chksm=c1e9aa05f69e2313b4008171968ca8f39b6f9df6c64dc21100fca4022c5089793808e6611a8d&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh