流量重定向系统 (TDS) 背后的网络攻击者向网站注入恶意脚本，控制了全球数千台服务器，并加大了避免检测的力度。

自 2021 年 10 月以来一直活跃的流量重定向系统(TDS)背后的黑客加大了逃避检测的力度，并可能通过隐藏在数千个受感染网站中的恶意脚本影响数百万人。

Unit 42 的研究人员在最近的一篇博客文章中透露，自 9 月初调查有关巴西网站遭到入侵的通知以来，他们一直在跟踪Parrot TDS。一项调查发现，该网站提供的页面注入了被识别为 Parrot TDS 系统一部分的 JavaScript，该系统控制着世界各地数千台受感染的服务器，提供大量恶意 JavaScript 片段变体。例如，在Sucuri 和 Avast 于 2022 年进行的一项调查中，研究人员观察到受到 Parrot TDS 攻击的网站向毫无戒心的访问者提供FakeUpdates 下载程序（又名SocGholish）。

Unit 42 研究人员在帖子中写道：“Parrot TDS 是一项针对全球受害者的持续活动的一部分。” “我们每天都会看到来自各种网站的登陆脚本或有效负载脚本样本因此次活动而受到损害。”

Parrot将恶意脚本注入服务器上托管的现有 JavaScript 代码中，该代码首先对受害者进行分析以查看是否满足某些条件，然后提供有效负载脚本，该脚本可以将受害者的浏览器引导至恶意位置或内容。研究人员表示，该活动在国籍、地理位置和行业方面都是不可知的，脚本出现在全球数十个网站上。

研究人员写道：“虽然涉及恶意或注入 JavaScript 代码的活动相当常见，但 Parrot TDS 因其广泛的范围和威胁数百万潜在受害者的能力而引人注目。”

研究人员表示，该系统背后的攻击者还加大力度逃避安全研究人员的检测和分析，包括使用多行注入 JavaScript 代码而不是单行代码的技术，而单行代码在脚本文件中更难发现。

识别恶意 Parrot TDS 脚本

研究人员表示，攻击者可能会使用自动工具来利用已知漏洞来接管服务器以传送 Parrot TDS 脚本。

“大多数受感染的服务器使用WordPress、Joomla 或其他内容管理系统 (CMS) 来托管网站，”他们在帖子中解释道。“即使没有 CMS 的网站也可能会通过此活动受到损害，因为服务器端漏洞不仅限于 CMS。”

Parrot TDS 脚本有两种形式 – 登陆脚本，它进行环境检查，以避免检测到受害者是否是交付后续有效负载脚本的可行候选者，该脚本重定向到恶意内容。

Parrot TDS 有效负载脚本大约有九个版本，它们使用“ndsx”关键字，因此相对容易识别。研究人员表示，除了 V1 之外，所有脚本都是恶意的，V1 只为受害者设置 cookie 值，其他脚本都是良性的。

V2 是最常见的有效负载脚本，占研究人员识别的样本的 70% 以上。在没有任何混淆的情况下，它会创建一个新的脚本标签来从恶意 URL 加载 JavaScript。

Parrot TDS 有效负载脚本 V3 包含混淆，仅针对运行 Microsoft Windows 的受害者，其行为与 V2 类似，从恶意 URL 加载附加脚本。

V4 和 V5 有效负载脚本也很相似，前者本质上是 V1 有效负载脚本加上额外的恶意代码，而 V5 实际上是 V2 有效负载脚本加上额外的代码。研究人员表示，在这两种情况下，附加代码都会出现在原始 V1 或 V2 函数之前。

“这个额外的有效负载脚本代码的核心功能是挂钩登陆页面中的所有可点击链接，”他们解释道。“每当网页访问者单击链接时，脚本就会创建一个新的图像对象并从特定的 URL 加载。”

他们说，有效负载脚本的 V6 到 V9 也包含更多混淆，但研究人员很少看到它们在使用。

缓解和避免Parrot TDS危害

研究人员在他们的博客文章中列出了一系列危害指标 (IoC)，如果 Parrot TDS 危害了他们的网站，这些指标可以向网站管理员发出警报。其中包括 100 个 JavaScript 文件示例的 SHA256 哈希值列表，其中包含 Parrot TDS 的注入着陆脚本代码，研究人员也已将这些文件提交给 VirusTotal。

管理员还可以在关联 Web 服务器上托管的文件中搜索与活动相关的关键字，包括“ndsj”、“ndsw”和“ndsx”，并进行审核以发现 Web 服务器上任何额外的 .php 文件发现与 Parrot TDS 相关的恶意脚本。

研究人员表示，下一代防火墙技术和高级 URL 过滤还可以帮助阻止恶意流量并识别与该活动相关的 IoC。

---

转自安全客，原文链接：https://www.anquanke.com/post/id/292862

封面来源于网络，如有侵权请联系删除