页面篡改分析-重定向篡改事件的分析及回溯过程

XT 2020-05-13 23:48:00

某站页面篡改事件取证分析

一处BoCai内容重定向篡改事件的分析及回溯过程。

0x01 篡改内容调查取证

本次样本来源于工作,该样本使用已经被篡改的模板页面,敏感篡改点(或BoCai触发点)有2处,如图所示
文本篡改如前文图片所示。
主要篡改点如下:

0x02 篡改代码分析

对其编码转码:(转码可直接到sojson.com的 js解码)

1
2
3
4
<script LANGUAGE="Javascript">
var OmBIhYNl1=window["document"]["referrer"]
if(OmBIhYNl1["indexOf"]("google")>0 || OmBIhYNl1["indexOf"]("baidu")>0 || OmBIhYNl1["indexOf"]("sogou")>0 ) location["href"]="http://www.a5qqq.com";
</script>

可以看出该页面除了页面篡改还存在针对来自google、sogou、baidu的请求重定向脚本,脚本重定向到http[://www].a5qqq.com (198.16.46.26)

此外页面还存在有可能有助于定位的,页面统计代码:

http://js.passport.qihucdn.com/11.0.1.js?0cafbe109ab248eb7be06d7f99c4009f 奇虎75cdn统计

0x03 信息回溯

目前的线索梳理:

  1. [www.] a5qqq.com
  2. http://js.passport.qihucdn.com/11.0.1.js?0cafbe109ab248eb7be06d7f99c4009 (专项定位)

域名反查:
该域名为注册在:OnlineNIC 的一个域名,已知onlinenic存在域名管理业务的网站。
通过在https://onlinenic.com/en/Domains/ 的查询a5qqq.com可以看到:
Domain Name: a5qqq.com
Registry Domain ID: 2371179763_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.onlinenic.com
Registrar URL: http://www.onlinenic.com
Updated Date: 2019-05-07T11:46:11Z
Creation Date: 2019-03-20T12:09:22Z
Registrar Registration Expiration Date: 2020-03-20T12:09:22Z
Registrar: Onlinenic Inc
Registrar IANA ID: 82
Registrar Abuse Contact Email: onlinenic-enduser@onlinenic.com
Registrar Abuse Contact Phone: +1.5107698492
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registry Registration ID:
Registration Name: li genbao
Registration Organization: li genbao
Registration Street: jishuixianpanguzhenlaowucun180hao
Registration City: jishuixian
Registration State/Province: Beijing
Registration Postal Code: 343000
Registration Country: CN
Registration Phone: +86.7965659189
Registration Phone Ext:
Registration Fax: +86.7965659189
Registration Fax Ext:
Registration Email: huaguo.net@sohu.com
Registry Registration ID:

通过邮箱反查:huaguo.net@sohu.com
发现该注册者注册了2897 条域名,

对网站跳转过程跟踪:
http://www.a5qqq.com (45.32.204.50 美国 182.161.70.29 香港) 重定向到 http://vip.haxhr.com/a5/

发现再次跳转 http://vip.haxhr.com/a5/ (43.248.188.45 江苏 宿迁 BGP多线) 发现为凤凰彩票的展示页面


在对BoCai内容的分析中发现两个QQ,1103333578 和784289999 均为凤凰彩票相关专员。


至此本次溯源线索告一段落。追溯过程仍然可以针对关键节点深入回溯,不在深溯。

IOCs

www.a5qqq.com
vip.haxhr.com
QQ:1103333578
QQ:784289999
li genbao
huaguo.net@sohu.com