該惡意鏈接可能是cdn站點被劫持了導致的。而這cdn鏈接，很多公司，乃至很多開發框架，都是使用的該鏈接，影響范圍之大，難以想象。

0x01前言

一個從20幾℃的大熱天冬天天氣變成寒冷潮濕陰天的天氣，正躲在公司瑟瑟發抖的我，突然被拉進了一個應急群。某客戶那邊的站點，在打開某些特定頁面的時候，會出現買虛擬貨幣的宣傳視頻，很明顯又是黑灰產搞的鬼。目前已前場采集過來的信息如下：

1. 在打開特定頁面才會觸發；

2. 在特定頁面也無法準確復現，嘗試好一會才能復現兩次；

3. 前場同事使用的是iOS，然后其他人使用Android也可以復現；

4. 我使用瀏覽器和微信瀏覽器打開，難以復現；

5. 在對應服務器上未找到其音頻文件；

6. 目前使用特定運營商網絡可以復現；

0x02分析

在獲取目前這些信息后，有幾個猜想思路：

1. 在對應服務器沒找到音頻文件，這個其實我是可以猜到的，一般來說，比較可能的原因是站點源碼被更改了，去請求外鏈在客戶瀏覽器/移動端進行播放；

2. 接下來是分析惡意代碼存在哪里。從目前瀏覽器無法復現來看，猜測可能代碼存在客戶端上，或者本身音頻文件就在客戶端資源包里面。如果真是這樣，那就得逆向分析APP，這就比較麻煩了。

但是其實第二條的實現是比較難的。想達到篡改APP的情況，還是官網下載的APP，難度太大了。哪怕APP沒有做簽名防篡改，想直接把官網的APP下載鏈接篡改，這個難度是最大的。沒事，實踐出真知！使用burp進行抓包，使用瀏覽器打開問題鏈接：

突然出現的提示，讓我突然虎軀一震。有沒有一種可能？瀏覽器打開之所以無法觸發，是因為僅在移動端上才能生效。通過F12的功能，可以設置UA頭為移動端，可以模擬手機發送請求：

果然。在burp里面發現了奇怪的mp4文件鏈接。

可以看到，被騰訊云攔截了。這可能也是復現為什么不好復現的原因。而在特定網絡下，可以訪問到這個，可能就是因為某些運營商可能沒有做攔截。為了和前場同事確認是否為該文件，我使用了點技術手段，獲取到此視頻文件，發送給他。經確認，可以判斷，即為該文件導致的。

那么接下來就是分析js的調用關系，查看怎么通過客戶站點到該站點的。

【----幫助網安學習，以下所有學習資料免費領！加vx：YJ-2021-1，備注 “博客園” 獲取！】

　① 網安學習成長路徑思維導圖
　② 60+網安經典常用工具包
　③ 100+SRC漏洞分析報告
　④ 150+網安攻防實戰技術電子書
　⑤ 最權威CISSP 認證考試指南+題庫
　⑥ 超1800頁CTF實戰技巧手冊
　⑦ 最新網安大廠面試題合集（含答案）
　⑧ APP客戶端安全檢測指南（安卓+IOS）

0x03溯源

由于該請求的referer頭是本身，那我們難以找到是哪個頁面請求的。只能通過搜索查看：

成功在www.unionxxxx.com里面發現了該鏈接請求，且里面包含很多huobi的黑產鏈接。進一步分析鏈接是怎么請求來。后續在www.unionxxxx.com/ddd.html里面找到惡意鏈接。

那現在最后的問題就是找到www.unionxxxx.com/ddd.html與客戶站點的調用關系。這也是最難的一步。為什么呢？因為不管是通過referer自動還是全局搜，都找不到www.unionxxxx.com/ddd.html鏈接。搜索unionxxxx字段，也沒有找到其他鏈接。

最后實在沒辦法了，只能通過抓包，一步一步查看請求順序。最后終于發現疑似鏈接：https://cdn.xxxxcdn.net/ajax/libs/jquery/3.6.0/jquery.js。分析該jquery文件，并未發現存在問題的代碼，但是當我翻到最后面時，發現了問題：

圖片紅框部分，明顯與眾不同。事出反常必有妖！混淆加密的太離譜了，可讀性實在是太差了。但是看著看著，好像發現了熟悉的東西。

這不就是那個惡意鏈接嗎？當然這只是猜想，最后看下能不能得解開這些加密。試了網上的好多個js解密，沒一個能用的。但是又在js里面看到了一個鏈接：

訪問jsjiami.com，嘗試解密：

結果不可逆！！！

后續沒辦法了，只能找new bing大哥幫我看看。結果，柳暗花明又一村啊！

雖然只有部分，但是夠了。這樣就能把所有調用關系聯系起來了。

0x04結尾

該惡意鏈接可能是cdn站點被劫持了導致的。而這cdn鏈接，很多公司，乃至很多開發框架，都是使用的該鏈接，影響范圍之大，難以想象。本來想把這個情報反饋給當地網安處理，但是在此文章寫完之時，才發現，該鏈接已經恢復正常了，后面的加密js代碼已被剔除。

更多網安技能的在線實操練習，請點擊這里>>