Phân tích mã độc Javascript Facebook

Thảo luận trong 'Virus/Malware' bắt đầu bởi Malware, 12/03/15, 11:03 AM.

  1. Malware

    Malware Wh------

    Tham gia: 08/01/15, 11:01 AM
    Bài viết: 56
    Đã được thích: 35
    Điểm thành tích:
    48
    Như chúng ta thấy ngày nay hiện tượng Facebook của chúng ta tự động like, share, follow... các FanPage, ảnh, status.... diễn ra rất phổ biến. Nguyên nhân là do chúng ta đã bị nhiễm phải một loại mã độc chạy trên trình duyệt. Để mọi người hiểu rõ hơn về loại mã độc này. Hôm nay mình sẽ phân tích một số kỹ thuật mà loại mã độc này sử dụng.

    Giới thiệu qua về mã độc javascript trên Facebook
    Mã độc javascript trên Facebook là các đoạn mã kẻ xấu dùng để like, share, follow… một trạng thái, bài viết, trang quảng cáo… hoặc có thể dùng với mục đích ăn cắp tài khoản của người dùng.

    Nguyên lí hoạt động của mã độc
    Nguyên lí chung để viết một đoạn mã giả mạo một hành vi của người dùng trên facebook là dùng Javascript gửi một gói tin giả mạo lên máy chủ của Facebook. Nội dung của gói tin giả mạo được xem bằng Developers Tools – Network (F12) và gửi thì bằng phương thức XMLHttpRequest của Javascript. Đoạn mã độc này có thể ẩn nấp dưới dạng như lừa người dùng chạy một đoạn Javascript để thay đổi giao diện của facebook, hay cài một Extension (tiện ích) để xem một video…

    Thông tin về mẫu phân tích
    - File type: Javascript
    - Kích thước: 81.7 KB
    - Chạy trong Developers Tools – Console

    Các hành vi của mẫu:

    Mã độc like một số trạng thái, bức ảnh, danh sách…
    [​IMG]
    Hình 1: Hành vi tự động like

    Thay đổi giao diện của facebook trong phiên sử dụng hiện tại
    [​IMG]
    Hình 2: Hành vi thay đổi giao diện trang Facebook


    Kỹ thuật sử dụng

    1. Javascript để like, follow, share…
    Đoạn mã trong mẫu thực hiện hành vi like một trang:
    [​IMG]
    Hình 3: Kỹ thuật tự động like FanPage


    Đoạn mã trong mẫu thực hiện hành vi like một status, bức ảnh:

    [​IMG]
    Hình 4: Kỹ thuật tự động like status, ảnh...


    Đoạn mã lấy danh sách bạn bè:
    [​IMG]
    Hình 5: Kỹ thuật lấy danh sách bạn bè


    Đoạn mã theo dõi:
    [​IMG]
    Hình 6: Kỹ thuật Follow


    2. Chèn CSS vào trang để thay đổi giao diện hiện tại
    [​IMG]
    Hình 7: Kỹ thuật thay đổi giao diện Facebook


    Cách phát hiện

    1. Vào Nhật kí hoạt động xem lại các hoạt động: ở đây liệt kê các tất cả các hoạt động, tìm kiếm xem có hoạt động nào bất thường…

    [​IMG]
    Hình 8: kiểm tra nhật ký hoạt động để phát hiện mã độc kịp thời


    2. Kiểm tra lại các tiện ích trên trình duyệt: phát hiện các tiện ích trái phép mà chúng ta không cài đặt

    [​IMG]
    Hình 9: Kiểm tra các extension trên trình duyệt


    Trên đây là bài phân tích về kỹ thuật tự động like, share, follow... của dòng mã độc sửa dụng javascript trên trình duyệt và cách phát hiện loại mã động này. Bài viết còn nhiều thiếu xót, rất mong nhận được sự góp ý của các bạn.
     
    Last edited by a moderator: 15/04/16, 04:04 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. toan3000

    toan3000 W-------

    Tham gia: 13/02/14, 09:02 AM
    Bài viết: 2
    Đã được thích: 0
    Điểm thành tích:
    1
    Re: Phân tích mã độc Javascript Facebook

    Cảm ơn bạn, bài viết có tính tham khảo rất hay.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. ndtrung2612

    ndtrung2612 W-------

    Tham gia: 05/03/15, 05:03 PM
    Bài viết: 7
    Đã được thích: 0
    Điểm thành tích:
    6
    Re: Phân tích mã độc Javascript Facebook

    Code ở Hình 3, Hình 4 và Hình 6 chỉ tác dụng trên IE7+, Firefox, Chrome, Opera, Safari !
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. ParaMonta

    ParaMonta W-------

    Tham gia: 25/12/15, 02:12 PM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Hình minh họa ở trên lỗi rồi....die rồi ạ
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. sunny

    sunny VIP Members

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,894
    Đã được thích: 868
    Điểm thành tích:
    113
    Do trước đây Malware up lên site trung gian nên bị lỗi, bạn bổ sung lại để mọi người tham khảo bài viết tốt hơn.

    Thanks!
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. luongtankhang123

    luongtankhang123 W-------

    Tham gia: 02/07/13, 09:07 PM
    Bài viết: 47
    Đã được thích: 14
    Điểm thành tích:
    18
    S-Mod lập team viết extension hay addon chống cái này đi, chứ các extension hay addon hiện nay bị tụi nó qua mặt hết rồi, ngay cả avast cũng không thể chống được.
    Bạn bè hay người thân thì em đều khuyên là tốt nhất nên sử dụng 2 trình duyệt, 1 cái chỉ để lướt facebook, xem youtube, giao dịch ngân hàng
    còn 1 cái thì để google search tìm tài liệu,...
    Em cũng khuyên là nên lập thêm 1 tài khoản facebook "giả" đăng nhập ở trình duyệt thứ 2 để những trang yêu cầu hãy "like" hay "share" hay "đăng nhập bằng facebook để down tài liệu" thì tác động nó cũng chỉ đè lên cái fb mình không dùng
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    sunny thích bài này.
  7. sunny

    sunny VIP Members

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,894
    Đã được thích: 868
    Điểm thành tích:
    113
    luongtankhang123 :

    Bạn thử tìm hiểu về "bkav safe facebook" xem, extension cho cả Chrome và FF.

    Việc dùng 2 tài khoản Fb cũng bất tiện , vì vẫn là1 người dùng :)) chưa kể phải phân thân cũng không hay lắm.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. luongtankhang123

    luongtankhang123 W-------

    Tham gia: 02/07/13, 09:07 PM
    Bài viết: 47
    Đã được thích: 14
    Điểm thành tích:
    18
    cái extension này không public mà, nó giống avast safe browser, chỉ tích hợp ở bản trả phí
    ý em là cái fb giả kia mình cho nó chết ở trình duyệt sử dụng cho việc tìm kiếm thông tin để phòng trường hợp cần gấp 1 tài liệu nào đó mà nó lại bắt đăng nhập bằng facebook, hay muốn lấy 1 mã khuyến mãi nào đó nhưng nó bắt share thông tin khuyến mãi, ngoài ra cái fb giả đó mình chẳng đụng đến để làm gì
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    sunny thích bài này.