JavaScript后门分析与防御指南

1. 后门概述

这个不到2KB的JavaScript后门是一个精巧设计的Windows后门程序，主要特点包括：

• 使用合法的wscript.exe进程作为掩护
• 通过C&C(命令与控制)服务器进行通信
• 采用无限循环等待命令的设计
• 每4小时与C&C服务器进行一次通信

2. 技术细节分析

2.1 通信机制

后门通过以下方式与C&C服务器交互：

1. 将查询字符串"reflow"传递给C&C服务器
2. 服务器响应包含恶意JavaScript代码(伪装为PNG文件)
3. 后门脚本评估并执行接收到的代码

2.2 身份验证过程

后门使用"mAuth"函数进行身份验证：

1. 生成短随机字符串
2. 将随机字符串与系统信息连接
3. 进行Base64编码后通过Cookie传递
4. 随机字符串作为指令标记使用

2.3 数据收集

后门通过WMI(Windows Management Instrumentation)收集系统信息，包括：

• 用户名
• 计算机名
• 其他系统标识信息

2.4 数据传输

数据通过AJAX回传给C&C服务器，使用"FillHeader"函数构造HTTP头。

示例HTTP请求：

GET /?reflow HTTP/1.1
Cookie: [Base64编码的系统信息和随机字符串]

3. C&C服务器组件分析

攻击包包含4个主要脚本：

1. index.php - 主控脚本，包含SVG动画作为诱饵
2. JavaScript文件 - 恶意负载(伪装为PNG文件)
3. 模板PHP脚本 - 使页面看起来合法
4. 交互PHP脚本 - 与受害PC通信

3.1 日志功能

C&C服务器会为每个受害者创建三个文件：

1. 包含IP地址的日志
2. 文件传输记录(上传/下载)
3. 会话信息日志

日志文件名使用MD5哈希的受害者的用户名和计算机名作为部分名称。

3.2 命令功能

后门支持有限但足够危险的命令集：

• 文件上传/下载
• 命令执行
• 日志清除(用于销毁证据)

4. 攻击流程总结

1. 攻击者入侵Web服务器并部署恶意脚本
2. 受害者访问被篡改页面，加载SVG动画诱饵
3. 恶意JavaScript通过"reflow"参数传递到受害者PC
4. 后门收集系统信息并建立与C&C的连接
5. 攻击者通过C&C服务器发送指令
6. 后门执行指令并返回结果

5. 防御措施

5.1 检测方法

1. 监控异常的wscript.exe进程活动
2. 检查每4小时一次的周期性外连请求
3. 查找包含"reflow"参数的异常HTTP请求
4. 监控Base64编码的Cookie数据传输

5.2 防护建议

1. 服务器防护:

   • 定期检查Web服务器文件完整性
   • 监控异常的文件修改
   • 限制服务器脚本执行权限

2. 终端防护:

   • 禁用不必要的WMI功能
   • 监控JavaScript文件的异常执行
   • 实施严格的脚本执行策略

3. 网络防护:

   • 拦截可疑的C&C通信
   • 分析异常的Base64编码流量
   • 阻止已知恶意域名的访问

4. 日志管理:

   • 确保日志文件完整性保护
   • 监控日志文件的异常删除
   • 实施集中式日志收集和分析

6. 应急响应

发现感染后的处理步骤：

1. 立即隔离受感染系统
2. 保留内存和磁盘证据
3. 检查所有日志文件(包括可能被删除的)
4. 分析网络流量中的C&C通信
5. 查找其他可能的持久化机制
6. 彻底清除后门并修复漏洞

7. 总结

这个小巧的JavaScript后门展示了攻击者如何利用合法系统组件和精巧设计绕过检测。其特点包括：

• 极小的体积(不足2KB)
• 使用系统合法进程(wscript.exe)作为掩护
• 隐蔽的通信机制
• 完善的身份验证和数据收集功能
• 模块化的设计允许后续扩展

防御此类威胁需要多层防护策略，重点关注异常脚本执行、可疑网络通信和系统完整性监控。