Parrot TDS 接管网络伺服器，威胁数百万人

活动概述

近月来，一种名为 Parrot TDS 的新流量导向系统TDS出现，利用成千上万的被入侵网站，正在触及来自全球的用户。这个 TDS 已经感染了各种网络服务器，托管著超过 16500 个网站，这些网站包括成人内容网站、个人网站、大学网站以及地方政府网站。

Parrot TDS 作为进一步恶意活动的入口，使潜在受害者处于危险之中。在这个特定案例中，被感染网站的外观被一个名为 FakeUpdate也称为 SocGholish的活动所改变，它使用 JavaScript 显示假消息，引导用户更新其浏览器，并提供可下载的更新文件。观察到传送给受害者的文件是一种远程访问工具。

新发现的 TDS 在某些方面类似于 2021 年春季出现的 Prometheus TDS [1]。然而，Parrot TDS 的独特之处在于其稳定性和其巨大的覆盖范围，这让它有潜力感染数百万用户。我们在 2022 年 2 月发现 Parrot TDS 的活动增加，这是通过检测被黑客入侵的网络服务器上的可疑 JavaScript 文件进行的。我们分析了其行为并识别了几个版本，以及多种利用 Parrot TDS 的活动。根据首次样本的出现及其使用的命令与控制C2域的注册日期，Parrot TDS 自 2021 年 10 月以来一直活跃。

Parrot TDS 与其他 TDS 最大的区别之一在于其广泛的影响以及潜在受害者的数量。我们发现的被入侵网站似乎毫无共同之处，除了它们都是托管著安全性不佳的 CMS 网站，如 WordPress 网站。从 2022 年 3 月 1 日至 3 月 29 日，我们保护了来自全球的超过 600000 名独特用户，避免他们访问这些被感染的网站。在这段时间内，巴西的受保护用户数量最多，超过 73000 名独特用户，其次是印度接近 55000 名独特用户和美国超过 31000 名独特用户。

图示显示了 Parrot TDS 的目标国家在 3 月

被入侵网站

在 2022 年 2 月，我们发现包含恶意 JavaScript 代码的网站数量显著增加。这段代码附加在我们发现的几乎所有被入侵网络服务器的 JavaScript 代码末尾。随著时间的推移，我们识别出两个版本代理和直接我们称之为 Parrot TDS。

在这两种情况下，运行不同内容管理系统CMS的网络服务器被攻击，最常见的受感染 CMS 是多个版本的 WordPress 或 Joomla。由于这些被入侵的网络服务器之间几乎没有共同点，我们假设攻击者利用了安全性薄弱的伺服器和不够强的登录凭证来获得管理员访问，但我们没有足够的信息来确认这一理论。

代理版

代理版通过一个位于同一网络服务器上的恶意 PHP 脚本与 TDS 基础设施进行通信，并执行响应内容。下面显示的是代理版的去混淆代码片段。

恶意 JavaScript 代码

这段代码根据用户代理字串、cookies 和引用进行基本的用户过滤。简单来说，这段代码对每位访问感染页面的用户仅联系一次 TDS。这种过滤方式可以防止多次重复请求，并避免可能的伺服器过载。

上述 PHP 脚本有两个功能。第一个是提取客户信息，如 IP 地址、引用和 cookies，将访问者的请求转发给 Parrot TDS C2 伺服器，并将响应发送回去。

第二个功能是允许攻击者通过发送特定制作的请求在网络服务器上执行任意代码，有效地创建了一个后门。这个 PHP 脚本使用不同的名称，位于不同的位置，但通常，其名称与它所在文件夹的名称相对应因此这个 TDS 的名称也来自于这一点，因为它模仿文件夹的名称。

在几个案例中，我们还在感染的网络服务器上发现了传统的网页外壳，这些外壳位于各种位置并使用不同的名称，但仍然遵循相同的“模仿”模式。下面显示的是在其中一台被入侵的网络服务器上发现的网页外壳示例。

传统网页外壳 GUI

由于我们看到几个重新感染的案例，因此伺服器可能会通过例如 cron 作业自动恢复可能被删除的文件。然而，我们没有足够的信息来确认这一理论。

直接版

直接版与前一个版本几乎相同。这个版本也使用相同的过滤技术。但是，它直接向 TDS C2 伺服器发送请求，与前一版本不同，省略了恶意的后门 PHP 脚本。它以与前一版本相同的方式执行响应内容。两个版本的整个通信序列如下图所示。我们进行的实验验证了 TDS 每个 IP 地址仅重定向一次。

感染链序列图

已识别活动

Parrot TDS 的响应是执行在客户端的 JavaScript 代码。一般来说，这段代码可以是任意的，并使客户面临进一步的危险。然而，在实践中，我们看到的只有两种类型的响应。第一种如下所示，简单地在客户端设置 utma cookie。在这种情况下，客户不应被重定向到登陆页面。由于上述基于 cookie 的用户过滤，这一步有效地防止了未来对 Parrot TDS C2 伺服器的重复请求。

良性 Parrot TDS C2 响应

下面的代码片段显示了第二种类型，这是一个针对 Windows 机器的活动重定向。

恶意 Parrot TDS C2 响应

FakeUpdate 活动

Parrot TDS 在野外中最常见的“客户”是 FakeUpdate 活动。这个活动的先前版本在 2018 年被 MalwareBytes Lab 描述过 [2]。虽然我们识别的版本与 2018 年的版本略有不同，但其核心仍然相同。用户收到的 JavaScript 会改变页面的外观并试图强迫用户下载恶意代码。下面是一个此类页面的示例。

FakeUpdate 活动

这段 JavaScript 还包含一个 Base64 编码的 ZIP 文件，里面有一个恶意的 JavaScript 文件。一旦用户下载了 ZIP 文件并执行其内部的 JavaScript 代码，这段代码开始分段识别用户，然后传递最终的有效载荷。

用户过滤

整个感染链的设置目的是让其难以复制，因此也难以调查。Parrot TDS 提供了第一层防护，根据 IP 地址、用户代理和引用来过滤用户。

FakeUpdate 活动则提供了第二层防护，使用几种机制。第一个是使用唯一的 URL，只向特定用户提供恶意内容。

最后的防护机制是扫描用户的计算机。这个扫描通过几个 JavaScript 代码由 FakeUpdate C2 伺服器发送给用户。这个扫描收集以下信息。

下面图片概述了该过程。第一部分表示 Parrot TDS 根据 IP 地址、引用和 cookies 进行过滤，并在用户成功通过这些测试后，FakeUpdate 页面出现。第二部分表示 FakeUpdate 根据受害者设备扫描进行过滤。

过滤过程概述

最终有效载荷

最终有效载荷则分两个阶段交付。在第一阶段，由恶意 JavaScript 代码放置并运行一个 PowerShell 脚本。这个 PowerShell 脚本会被下载到随机八字符名称的临时文件夹中例如 Temp1c017f89ps1。然而，这个 PowerShell 脚本的名称则是内嵌在 JavaScript 代码中的。这个脚本的内容通常是一条简单的 whoami /all 命令。结果会发送回 C2 伺服器。

在第二阶段，最终有效载荷被交付。这个载荷被下载到 AppDataRoaming 文件夹。在这里，会放置一个随机名称的文件夹，内含数个文件。我们迄今观察到的有效载荷属于 NetSupport Client 远程访问工具，使攻击者能够轻松访问被感染的机器 [3]。

该 RAT 通常被命名为 ctfmonexe模仿一个合法程序的名称。它还会在电脑开机时自动启动，通过设置一个 HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun 的注册表键。

NetSupport 伪装成合法的 Microsoft 服务名称

安装在被感染机器上的 NetSupport 客户端

安装的 NetSupport Manager 工具被配置得使得用户几乎无法察觉，同时给攻击者提供最大可能性。该工具基本上使得攻击者拥有完全访问受害者机器的权限。为了在不被察觉的情况下运行，聊天功能被禁用，并设置为静默模式。例如，还设置了一个闸道，允许攻击者随时随地连接客户端。目前为止，我们看到的工具的配置文件中使用的闸道是来自中国的域名。下面的图片显示了客户端设置。

NetSupport 客户端设置

网络钓鱼

我们识别了数个被感染的伺服器，托管著网络钓鱼网站。这些网络钓鱼网站模仿例如 Microsoft Office 登录页面，并以 PHP 脚本的形式托管在被入侵的伺服器上。下图显示了在一个本来合法的网站上观察到的上述 Microsoft 网络钓鱼。我们没有足够的信息直接将其归因于 Parrot TDS。然而，许多被入侵的伺服器同样也包含网络钓鱼。

托管在遭到入侵的网络服务器上的 Microsoft 网络钓鱼

结论与建议

我们已经识别出一个广泛的被入侵网络伺服器基础设施，这些伺服器作为 TDS，并使大量用户处于风险之中。鉴于攻击者几乎无限制地访问成千上万的网络伺服器，以上列出的各种活动无疑是不完整的。

Avast 威胁实验室对开发者提供了一些建议，以避免他们的伺服器被入侵。

危害指标 (IoC)

Parrot TDS

SHA256 描述e22e88c8ec0f439eebbb6387eeea0d332f57c137ae85cf1d8d1bb4c7ea8bd2f2 代理版 JavaScriptdaabdec3d5a43bb1c0340451be466d9f90eaa0cfac92fb6beaabc59452c473c3 直接版 JavaScriptb63260c1f213c02fcbb5c1a069ab2f1d17031e598fd19673bb639aa7557a9bae 网页外壳按需 PHP 后门

为了防止对被感染伺服器的进一步攻击，我们根据需求提供此哈希值。请通过 DM 联系我们 Twitter 或发送邮件至 ti@avastcom。

CampC 伺服器

clickstat360[]comstatclick[]netstaticvisit[]netwebcachespace[]netsyncadv[]comwebcachestorage[]com

FakeUpdate

SHA256 描述0046fad95da901f398f800ece8af479573a08ebf8db9529851172ead01648faa FakeUpdate JavaScript15afd9eb66450b440d154e98ed82971f1b968323ff11b839b046ae4bec60f855 FakeUpdate 外观 JavaScriptCampC 伺服器 parmsplace[]com ahrealestatepr[]com expresswayautopr[]comxomosagency[]com codigodebarra[]co craigconnors[]comlawrencetravelco[]com maxxcorp[]net 2ctmedia[]comaccountablitypartner[]com walmyrivera[]com youbyashboutique[]comweightlossihp[]com codingbit[]co[]in fishslayerjigco[]comavanzatechnicalsolutions[]com srkpc[]com wholesalerandy[]commattingsolutions[]co integrativehealthpartners[]com wwpcrisis[]comlilscrambler[]com markbrey[]com nuwealthmedia[]compocketstay[]com fioressence[]com drpease[]comrefinedwebs[]com spillpalletonline[]com altcoinfan[]comwindsorbongvape[]com hillfamily[]us 10923435[]24914113635[]157 91219236[]192 91219236[]202

交付最终有效载荷

NetSupport RAT

SHA256 文件名b6b51f4273420c24ea7dc13ef4cc7615262ccbdf6f5e5a49dae604ec153055adAppData/Roaming/xxx /ctfmonexe8ad9c598c1fde52dd2bfced5f953ca0d013b0c65feb5ded73585cfc420c95a95AppData/Roaming/xxx /remcmdstubexe4fffa055d56e48fa0c469a54e2ebd857f23eca73a9928805b6a29a9483dffc21AppData/Roaming/xxx /client32ini

xxx 代表随机字符串名称

CampC

194180158[]173871208[]1411576172[]1104576172[]1135180136[]11994158247[]8494158245[]11394158247[]10015438242[]141992473[]55

资源

[1] Viktor Okorokov 和 Nikita Rostovcev Prometheus TDS Group IB 2021 年 8 月 5 日 https//bloggroupibcom/prometheustds[2] Jrme Segura FakeUpdates Campaign Leverages Multiple Website Platforms MalwareBytes Labs 2018 年 4 月 10 日 https//blogmalwarebytescom/threatanalysis/2018/04/fakeupdatescampaignleveragesmultiplewebsiteplatforms/[3] NetSupport Software https//wwwnetsupportsoftwarecom/。

被标签为 分析，后门，恶意软件，tds，webshell

分享XFacebook