记一次“暗链”应急响应

admin
admin
admin
0
文章
0
评论
2026-04-16 04:30:31 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文档记录了一次针对网站暗链植入的应急响应全过程。分析发现恶意代码通过劫持CDN资源(jquery.js文件)注入混淆JS脚本,在移动端访问特定页面时触发虚拟货币宣传视频。关键发现包括:恶意链接依赖运营商网络环境、使用UA检测规避PC端检测、通过多级跳转隐藏溯源路径。建议加强CDN资源监控和静态文件完整性校验。 综合评分: 76 文章分类: 应急响应,漏洞分析,WEB安全,威胁情报,安全建设

cover_image

记一次 “ 暗链 ” 应急响应

蚁景网安

2026年4月14日 17:17 湖南

在小说阅读器读本章

去阅读

以下文章来源于蚁景网络安全 ,作者Huck Lim

蚁景网络安全 .

致力于为你带来更实用的网络安全技术内容!

0x01前言

一个从20几℃的大热天冬天天气变成寒冷潮湿阴天的天气,正躲在公司瑟瑟发抖的我,突然被拉进了一个应急群。某客户那边的站点,在打开某些特定页面的时候,会出现卖虚拟货币的宣传视频,很明显又是黑灰产搞的鬼。目前已前场采集过来的信息如下:

  1. 1. 在打开特定页面才会触发;
  2. 2. 在特定页面也无法准确复现,尝试好一会才能复现两次;
  3. 3. 前场同事使用的是iOS,然后其他人使用Android也可以复现;
  4. 4. 我使用浏览器和微信浏览器打开,难以复现;
  5. 5. 在对应服务器上未找到其音频文件;
  6. 6. 目前使用特定运营商网络可以复现;

0x02分析

在获取目前这些信息后,有几个猜想思路:

  1. 1. 在对应服务器没找到音频文件,这个其实我是可以猜到的,一般来说,比较可能的原因是站点源码被更改了,去请求外链在客户浏览器/移动端进行播放;
  2. 2. 接下来是分析恶意代码存在哪里。从目前浏览器无法复现来看,猜测可能代码存在客户端上,或者本身音频文件就在客户端资源包里面。如果真是这样,那就得逆向分析APP,这就比较麻烦了。

但是其实第二条的实现是比较难的。想达到篡改APP的情况,还是官网下载的APP,难度太大了。哪怕APP没有做签名防篡改,想直接把官网的APP下载链接篡改,这个难度是最大的。 没事,实践出真知! 使用burp进行抓包,使用浏览器打开问题链接:

突然出现的提示,让我突然虎躯一震。有没有一种可能?浏览器打开之所以无法触发,是因为仅在移动端上才能生效。通过F12的功能,可以设置UA头为移动端,可以模拟手机发送请求:

img

果然。在burp里面发现了奇怪的mp4文件链接。

**可以看到,被腾讯云拦截了。这可能也是复现为什么不好复现的原因。而在特定网络下,可以访问到这个,可能就是因为某些运营商可能没有做拦截。**为了和前场同事确认是否为该文件,我使用了点技术手段,获取到此视频文件,发送给他。经确认,可以判断,即为该文件导致的。

那么接下来就是分析js的调用关系,查看怎么通过客户站点到该站点的。

0x03溯源

由于该请求的referer头是本身,那我们难以找到是哪个页面请求的。只能通过搜索查看:

成功在www.unionxxxx.com里面发现了该链接请求,且里面包含很多huobi的黑产链接。进一步分析链接是怎么请求来。后续在www.unionxxxx.com/ddd.html里面找到恶意链接。

那现在最后的问题就是找到www.unionxxxx.com/ddd.html**与客户站点的调用关系**。这也是最难的一步。为什么呢?因为不管是通过referer自动还是全局搜,都找不到www.unionxxxx.com/ddd.html链接。搜索unionxxxx字段,也没有找到其他链接。

最后实在没办法了,只能通过抓包,一步一步查看请求顺序。最后终于发现疑似链接:https://cdn.xxxxcdn.net/ajax/libs/jquery/3.6.0/jquery.js。分析该jquery文件,并未发现存在问题的代码,但是当我翻到最后面时,发现了问题:

图片红框部分,明显与众不同。事出反常必有妖!混淆加密的太离谱了,可读性实在是太差了。但是看着看着,好像发现了熟悉的东西。

这不就是那个恶意链接吗?当然这只是猜想,最后看下能不能得解开这些加密。试了网上的好多个js解密,没一个能用的。但是又在js里面看到了一个链接:

访问jsjiami.com,尝试解密:

img

结果不可逆!!!

后续没办法了,只能找new bing大哥帮我看看。结果,柳暗花明又一村啊!

虽然只有部分,但是够了。这样就能把所有调用关系联系起来了。

0x04结尾

该恶意链接可能是cdn站点被劫持了导致的。而这cdn链接,很多公司,乃至很多开发框架,都是使用的该链接,影响范围之大,难以想象。本来想把这个情报反馈给当地网安处理,但是在此文章写完之时,才发现,该链接已经恢复正常了,后面的加密js代码已被剔除。

学习网安实战技术,戳“阅读原文”

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:蚁景网安 《记一次 “ 暗链 ” 应急响应》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0