小弟是第一次到这版上发问,如有任何不妥务必告知,谢谢
昨天晚上接近凌晨的时候,我突然发现我的chrome会跳要我安装防毒软件的提示
我当时没看清楚,不小心点了确定,然后......我的chrome就会跳应该是壮阳的
广告出来了
一开始用adblock挡了几个,但好像没用会继续跳QQ
不过因为对我使用电脑没太大影响,所以我就起了好奇心想要分析看看他的script
到底是从哪里出问题
不过小弟是web苦手(不论是开发还是CTF都是QQ),加上周遭好像没几个人对这有研
究,所以不知道自己分析的对不对,我只是想找感染的源头在哪然后把他删掉这样
根据上次chrome extensions (反已读那个)的经验,我猜这次大概也是对extension
进行感染然后跳广告
我自己是这样做的:
因为该广告貌似不是每次我开网页都会跳出,应该是有时间间隔的,所以我一直
在Chrome f12里面刷新页面,最后在跳出广告的同时停下:
http://imgur.com/LgYAPXg.jpg
然后在Network下发现奇怪的网页和js:
http://imgur.com/3FOb6Qz.jpg
如果这是binary,我大概会猜是shellcode XDD,但是js底下实在不知道这些干嘛
用的,不过底下有wc.src = "https://loading.website/alert_ce.php"
这网页在Network下也有:
http://imgur.com/jLCSjLK.jpg
跟当初跳出来的讯息一模一样!
另外发现这段
http://imgur.com/GJdkP2q.jpg
因为没学过js,我大概猜下是建立一个script,然后设定attribute为src,后面
用+连接字串,串起来刚好是https://b.partner-net.men/......,是跳转广告
的网址
后面好像还有设定时间(我不太确定)
其余还有些哩哩扣扣的js、php,只是太多太杂看起来有点头昏眼花
好的,重点是我最后找到看似是存恶意广告js的地方:
1.http://imgur.com/2oaoaKA.jpg
在其中一个content.js下找到应该是呼叫恶意广告的东西
2.http://imgur.com/rm9SG79.jpg
在旁边有找到chrome extension的ID(有点小,不过应该看得到八?),表明该
content.js存在该extension下
这个extension叫web developer,根据我察看的结果而言,只有上半部被安插
恶意脚本,下半看似正常
我的问题是我的以上作法理解哪里有误吗?是否真的只要移除该extension就能
避免恶意广告跳出?恶意脚本的注入是攻击者刻意攻击该extension还是只是刚
好挑中呢(因为目前google好像没有人有类似的问题......)?
小弟第一次发问,如有需要任何情报我尽量提供,谢谢回答