一次暗链应急响应

0x01前言

​ 一个从20几℃的大热天冬天天气变成寒冷潮湿阴天的天气，正躲在公司瑟瑟发抖的我，突然被拉进了一个应急群。某客户那边的站点，在打开某些特定页面的时候，会出现买虚拟货币的宣传视频，很明显又是黑灰产搞的鬼。目前已前场采集过来的信息如下：

1. 在打开特定页面才会触发；

2. 在特定页面也无法准确复现，尝试好一会才能复现两次；

3. 前场同事使用的是iOS，然后其他人使用Android也可以复现；

4. 我使用浏览器和微信浏览器打开，难以复现；

5. 在对应服务器上未找到其音频文件；

6. 目前使用特定运营商网络可以复现；

0x02分析

在获取目前这些信息后，有几个猜想思路：

1. 在对应服务器没找到音频文件，这个其实我是可以猜到的，一般来说，比较可能的原因是站点源码被更改了，去请求外链在客户浏览器/移动端进行播放；
2. 接下来是分析恶意代码存在哪里。从目前浏览器无法复现来看，猜测可能代码存在客户端上，或者本身音频文件就在客户端资源包里面。如果真是这样，那就得逆向分析APP，这就比较麻烦了。

但是其实第二条的实现是比较难的。想达到篡改APP的情况，还是官网下载的APP，难度太大了。哪怕APP没有做签名防篡改，想直接把官网的APP下载链接篡改，这个难度是最大的。
没事，实践出真知！
使用burp进行抓包，使用浏览器打开问题链接：

​ 突然出现的提示，让我突然虎躯一震。有没有一种可能？浏览器打开之所以无法触发，是因为仅在移动端上才能生效。通过F12的功能，可以设置UA头为移动端，可以模拟手机发送请求：

果然。在burp里面发现了奇怪的mp4文件链接。

**可以看到，被腾讯云拦截了。这可能也是复现为什么不好复现的原因。而在特定网络下，可以访问到这个，可能就是因为某些运营商可能没有做拦截。**为了和前场同事确认是否为该文件，我使用了点技术手段，获取到此视频文件，发送给他。经确认，可以判断，即为该文件导致的。

那么接下来就是分析js的调用关系，查看怎么通过客户站点到该站点的。

帮助网安学习，全套资料S信领取：
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集（含答案）
⑧ APP客户端安全检测指南（安卓+IOS）

0x03溯源

由于该请求的referer头是本身，那我们难以找到是哪个页面请求的。只能通过搜索查看：

成功在www.unionxxxx.com里面发现了该链接请求，且里面包含很多huobi的黑产链接。进一步分析链接是怎么请求来。后续在www.unionxxxx.com/ddd.html里面找到恶意链接。

那现在最后的问题就是找到www.unionxxxx.com/ddd.html与客户站点的调用关系。这也是最难的一步。为什么呢？因为不管是通过referer自动还是全局搜，都找不到www.unionxxxx.com/ddd.html链接。搜索unionxxxx字段，也没有找到其他链接。

最后实在没办法了，只能通过抓包，一步一步查看请求顺序。最后终于发现疑似链接：https://cdn.xxxxcdn.net/ajax/libs/jquery/3.6.0/jquery.js。分析该jquery文件，并未发现存在问题的代码，但是当我翻到最后面时，发现了问题：

图片红框部分，明显与众不同。事出反常必有妖！混淆加密的太离谱了，可读性实在是太差了。但是看着看着，好像发现了熟悉的东西。

这不就是那个恶意链接吗？当然这只是猜想，最后看下能不能得解开这些加密。试了网上的好多个js解密，没一个能用的。但是又在js里面看到了一个链接：

访问jsjiami.com，尝试解密：

结果不可逆！！！

后续没办法了，只能找new bing大哥帮我看看。结果，柳暗花明又一村啊！

虽然只有部分，但是够了。这样就能把所有调用关系联系起来了。

0x04结尾

​ 该恶意链接可能是cdn站点被劫持了导致的。而这cdn链接，很多公司，乃至很多开发框架，都是使用的该链接，影响范围之大，难以想象。本来想把这个情报反馈给当地网安处理，但是在此文章写完之时，才发现，该链接已经恢复正常了，后面的加密js代码已被剔除。