Kiến thức bảo mật

Case Study: Xử lý và truy vết mã độc chèn nội dung Bet lên website

Posted on by Thiên Phong

Tình trạng

  • Website bị chèn link bet, nội dung bet trên SERP.
  • Truy cập các link trên từ SERP về hoặc truy cập trực tiếp đều bị chuyển hướng tới link chứa nội dung bet.
  • Website sử dụng mã nguồn ASP và chạy trên web server IIS.

Nhận định

Do truy cập từ SERP hay truy cập trực tiếp dùng User-Agent bình thường (Không dùng User-Agent của Googlebot) đều thể hiện nội dung bẩn. Vì vậy, xác định đây không phải là tình huống Content tàng hình (mình đã trình bày phần này ở Offline Nghiện SEO hồi đầu năm).

Content tàng hình trên server IIS thường được thực hiện bằng cách cài thêm module vào IIS để can thiệp luồng xử lý và không để lại dấu vết gì trong source code. Do trường hợp này không phải là content tàng hình nên mình sẽ chuyển hướng tìm mã độc trong source code.

Truy vết mã độc

Do trên Windows sẽ khó xử lý sâu, mình download source code về máy local (MacOS) để tiện xử lý.

Mình scan mã độc trong source => phát hiện ra 1 file malware với tính năng kết nối đến remote server để nhận lệnh & nội dung cần chèn vào website.

Dựa theo các chữ ký liên quan đến file mã độc được phát hiện: như C&C server, code, đặc biệt là upload date (29/05) mình khoanh vùng và móc ra tiếp khoảng 50 malware khác được cài cắm khắp nơi

Dò tìm các file khác (ngoài các malware) được chỉnh sửa xung quanh ngày 29/05, mình thấy ngày 05/05 có 1 đợt cập nhật code liên quan nhiều module.

Đọc các code có 1 điểm làm mình chú là sự xuất hiện của module “Tekerik UI”. Telerik UI là một module khá phổ biến để giúp xây dựng giao diện cho các ứng dụng Web. Tuy nhiên, module này cũng có tồn tại lỗ hổng bảo mật cho phép attacker upload file (CVE-2017-9248) hoặc thực thi lệnh bất kỳ (CVE-2019-18935) trên hệ thống.

Kiểm tra DDL Telerik của IIS thì thấy Module được cập nhật vào ngày 05/05, cùng ngày upload code.

Kiểm tra version của Telerik thì xác nhận dính 2 lỗi bảo mật trên.

Nguyên nhân

Tới đây, mình có thể hình dung toàn bộ quá trình như sau:

  • Ngày 05/05 website tiến hành cập nhật code có liên quan module Telerik UI.
  • Ngày 29/05, hệ thống bị khai thác lỗi bảo mật của Telerik để đưa mã độc lên server.
  • Sau khi có backdoor, attacker đã truy cập và cài thêm nhiều mã độc khác.
  • Mã độc có nhiệm vụ connect về C&C server để nhận lệnh & nội dung để hiển thị.
  • Các nội dung đó được Index và xuất hiện trên SERP.

Mình trao đổi lại các proof mình tìm thấy với admin quản trị website, đối chiếu log và được xác nhận diễn biến đúng như kết quả điều tra được.

Xử lý

  • Remove toàn bộ mã độc.
  • Chuyển server, cài mới lại hệ thống.
  • Thay đổi các mật khẩu liên quan.
  • Cập nhật module của IIS.
  • Trích xuất URL liên quan bet trên GSC và chạy Tool Submit Remove Index Auto.

Trích: Nguyễn Hưng (Bo) – Admin Vietnix

Thiên Phong

Người mà bạn trông đợi, chỉ có mình bản thân bạn mà thôi! There is a crack in everything, that's where the light gets in.

Leave a Reply

This site uses cookies to offer you a better browsing experience. By browsing this website, you agree to our use of cookies.
More info Accept
x Powerful Protection for WordPress, from Shield Security
This Site Is Protected By
Shield Security