小弟是第一次到這版上發問,如有任何不妥務必告知,謝謝
昨天晚上接近凌晨的時候,我突然發現我的chrome會跳要我安裝防毒軟體的提示
我當時沒看清楚,不小心點了確定,然後......我的chrome就會跳應該是壯陽的
廣告出來了
一開始用adblock擋了幾個,但好像沒用會繼續跳QQ
不過因為對我使用電腦沒太大影響,所以我就起了好奇心想要分析看看他的script
到底是從哪裡出問題
不過小弟是web苦手(不論是開發還是CTF都是QQ),加上周遭好像沒幾個人對這有研
究,所以不知道自己分析的對不對,我只是想找感染的源頭在哪然後把他刪掉這樣
根據上次chrome extensions (反已讀那個)的經驗,我猜這次大概也是對extension
進行感染然後跳廣告
我自己是這樣做的:
因為該廣告貌似不是每次我開網頁都會跳出,應該是有時間間隔的,所以我一直
在Chrome f12裏面刷新頁面,最後在跳出廣告的同時停下:
http://imgur.com/LgYAPXg.jpg
然後在Network下發現奇怪的網頁和js:
http://imgur.com/3FOb6Qz.jpg
如果這是binary,我大概會猜是shellcode XDD,但是js底下實在不知道這些幹嘛
用的,不過底下有wc.src = "https://loading.website/alert_ce.php"
這網頁在Network下也有:
http://imgur.com/jLCSjLK.jpg
跟當初跳出來的訊息一模一樣!
另外發現這段
http://imgur.com/GJdkP2q.jpg
因為沒學過js,我大概猜下是建立一個script,然後設定attribute為src,後面
用+連接字串,串起來剛好是https://b.partner-net.men/......,是跳轉廣告
的網址
後面好像還有設定時間(我不太確定)
其餘還有些哩哩扣扣的js、php,只是太多太雜看起來有點頭昏眼花
好的,重點是我最後找到看似是存惡意廣告js的地方:
1.http://imgur.com/2oaoaKA.jpg
在其中一個content.js下找到應該是呼叫惡意廣告的東西
2.http://imgur.com/rm9SG79.jpg
在旁邊有找到chrome extension的ID(有點小,不過應該看得到八?),表明該
content.js存在該extension下
這個extension叫web developer,根據我察看的結果而言,只有上半部被安插
惡意腳本,下半看似正常
我的問題是我的以上作法理解哪裡有誤嗎?是否真的只要移除該extension就能
避免惡意廣告跳出?惡意腳本的注入是攻擊者刻意攻擊該extension還是只是剛
好挑中呢(因為目前google好像沒有人有類似的問題......)?
小弟第一次發問,如有需要任何情報我儘量提供,謝謝回答