Parrot TDS: 持続的で進化するマルウェア キャンペーン

  • 325
    people reacted
  • 0
  • 6 min. read

By , , , , and

Category: Malware

Tags: , , , , , , , , , ,

A visual representation of Parrot TDS landing scripts. Icons representing warning signs, links, malicious emails, phishing and threat actors. The Palo Alto Networks and Unit 42 logos.

This post is also available in: English (英語)

概要

Parrot TDS の名で知られるトラフィック配信システム (TDS) が 2021 年 10 月からアクティブであることが公に報告されています。Parrot TDS を提供している Web サイトは、サーバー上にホストした既存 JavaScript コードに、悪意のあるスクリプトをインジェクトされています。この TDS は、インジェクトされた JavaScript 内で見つかるキーワードを検索すれば、容易に識別できます。本稿はこの脅威の進化について探究した結果をまとめます。

インジェクトされるスクリプトは 2 つのコンポーネントから構成されています。1 つめのコンポーネントは被害者のプロファイリングを行うランディング スクリプトで、2 つめのコンポーネントは被害者のブラウザーを悪意のあるロケーションやコンテンツに誘導しうるペイロード スクリプトです。皆さんが Parrot TDS についての理解を深められるよう、本稿はこのキャンペーンから収集したランディング スクリプトとペイロード スクリプトの詳細分析を提供します。

パロアルトネットワークスのお客様は、Advanced WildFireDNS SecurityAdvanced Threat PreventionAdvanced URL Filtering などのクラウド配信型セキュリティサービスを有効にした次世代ファイアウォール (NGFW) により、本稿で取り上げた脅威からの保護を受けています。侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、 こちらの問い合わせフォームからご連絡いただくか、infojapan@paloaltonetworks.com まで電子メールにてお問い合わせください (ご相談は弊社製品のお客様には限定されません)。

関連する Unit 42 のトピック Malware, Web Threats

目次

背景
Parrot TDS の概要
Parrot TDS のペイロード配布のイベント チェーン
Parrot TDS のランディング スクリプト
Parrot TDS のペイロード スクリプト
Parrot TDS の標的
結論
保護と緩和策
IoC
ランディング スクリプトのサンプル
ペイロード スクリプトのサンプル
追加リソース

背景

2023 年 9 月初旬、私たちは、ブラジルに拠点を置く、ある危殆化された Web サイトに関連して提供された情報を調べていました。この調査の結果、同 Web サイトは、Parrot TDS という名前で識別される JavaScript をインジェクトされたページを提供していたことがわかりました。さらに調査したところ、世界中のさまざまなサーバーから、多種多様な Parrot TDS スクリプトが見つかりました。

この調査からは、同キャンペーンに関連してインジェクトされた JavaScript のバージョンが複数明らかになりました。このスクリプトのすべてのバージョンについて確認する前に、そもそも Parrot TDS とはどのようなものなのかを理解しておく必要があります。

Parrot TDS の概要

悪意のある JavaScript コードやインジェクトされた JavaScript コードを使うキャンペーンはよくありますが、Parrot TDS はそのスコープの広さ脅威を受ける潜在的な被害者が何百万人にも及ぶという点で注目に値します。この TDS はインジェクトされた JavaScript のキーワードから容易に識別できます。たとえば次のようなものです。

  • ndsj
  • ndsw
  • ndsx

脅威オペレーターは Parrot TDS に対し、一貫してこれらのキーワードを使用してきました。こうしたキーワードの存在により、リサーチャーがこのキャンペーンのサンプルをグループ化することが容易になったことから、このキャンペーンは近年最も調査されたキャンペーンのひとつとなっています。

その起源はいまだ不明で、公の報告では Parrot TDS が 2021 年に始まったことが示されています。ただし私たちのデータでは、Parrot TDS が早くも 2019 年には初認されており、同年 8 月までには完全なサンプルが利用可能になったことが示されています。だとすれば、この比較的注目度の高いキャンペーンは、4 年以上アクティブだったことになります。

Parrot TDS について調査を進めていくと、その進化を示す、インジェクトされた JavaScript のさまざまなバージョンが明らかになりました。その進化全体で、Parrot TDS が使うイベント チェーンは一貫していました。

Parrot TDS のペイロード配布のイベント チェーン

私たちはこれまで Parrot TDS のさまざまなバージョンを観察してきましたが、攻撃チェーンは、以下の図 1 に示すように、同じ基本パターンにならっています。

画像 1 は Parrot TDS の攻撃チェーンの図です。Step 1: Attacker compromises a legitimate server and sets it up with Parrot TDS. Icon of attacker with arrow at server. Compromised web server song Parrot TDS. Step 2: Victim browses to compromised site. Icon of unsuspecting victim at computer. Arrow to server. Step 3: Web server returns malicious landing script. Step 4: Landing script causes victim’s web browser to retrieve payload script from payload server. Arrow to payload server. Arrow to victim. Step 5: Payload server returns payload script requested by landing script. Step 6: Payload script directs victim’s web browser to malicious location or content.
図 1. Parrot TDS 経由のペイロード配布のイベント チェーン

ほとんどの場合、Parrot TDS に侵害された Web サーバーは、ランディング用の JavaScript コード スニペットを既存の JavaScript ファイルにインジェクトします。通常、このコードには、ndsj または ndsw といったキーワードが含まれます。

上記の図 1 のステップ 3 および 4 に示すように、私たちはこれを Parrot TDS の「ランディング スクリプト」と呼んでいます。ランディング スクリプトは、検出回避の一手段として環境チェックを実行します。

それがランディング スクリプトの設定条件とうまく合致する環境なら、被害者の Web ブラウザーはペイロード サーバーへのクエリーを発行します。このペイロード サーバーは、ndsx のようなキーワードを含む JavaScript ペイロードを返します。

上の図 1 のステップ 5 および 6 で示したとおり、私たちはこの 2 つめのスクリプトを「ペイロード スクリプト」と呼んでいます。Parrot TDS のペイロード スクリプトは、被害者のブラウザーを、悪意のある Web ページなど、潜在的に悪意のあるコンテンツに誘導可能です。

最終的に、私たちが Parrot TDS トラフィックから特定した 2 つのコンポーネントは次のとおりです。

  • ランディング スクリプト (通常は ndsjndsw というキーワードが含まれている)
  • ペイロード スクリプト (ndsx のようなキーワードが含まれている)

これら 2 つのコンポーネントをより深く理解するには、まずランディング スクリプトを調べる必要があります。

Parrot TDS のランディング スクリプト

私たちは、社内・社外のデータ ソースから得た 10,000 件を超える Parrot TDS のランディング スクリプトを分析しました。このデータセットの範囲は 2019 年 8 月から 2023 年 10 月までです。

これらのサンプルからは、収集されたデータの約 95.8% に相当する 4 つのバージョンの Parrot TDS ランディング スクリプトが見つかりました (図 2)。残りの 4.2% は、同キャンペーンの将来を指し示す可能性があります。これらのサンプルの特徴は、これまでに特定した 4 つのバージョンのランディング スクリプトとは一致していないためです。

画像 2 は Parrot TDS のランディング スクリプトの分布を表す円グラフです。左から右へ時計回りに、その他が 4.2%、バージョン 1 が 0.5%、バージョン 2 が 2.7%、バージョン 3 が 18.2%、バージョン 4 が 74.4% です。
図 2. Parrot TDS のランディング スクリプトのバージョンの分布

全サンプルの 95.8% を占める Parrot TDS ランディング スクリプトの 4 つのバージョンは、ndswndsj かのいずれかのキーワードを使っています。残りの 4.2% は、ndsj というキーワードを使用しています。ndsj というキーワードを含むスクリプトは、CanvasdecodeURIWebAssembly など、さらなる難読化手法を使っています。

キャンペーン初期の Parrot TDS ランディング スクリプトのほとんどは、ワンライナーのコードとしてインジェクトされていました。これらのワンライナー コードは多くの場合、侵害された Web サイトが提供する JavaScript ファイルの末尾に追加されていました。ここではこれをバージョン 1 (V1) として識別します。図 3 は、そうしたサンプルのひとつを示したものです。注: 本稿ではこれ以下、各バージョンを「V」とそれに続くバージョン番号との組み合わせで表記します。

画像 3 は、V 1 のランディング スクリプトのサンプルです。2 つのスクリーンショットを重ねて表示してあります。一部の情報は割愛されています。上のスクリーンショットは、条件を強調表示しています。条件は、1: リファラーが存在すること、2: リファラーにホスト名が含まれていないこと、3: クッキーが存在しないこと、です。1 本の矢印が、レスポンスに ndsx が含まれている場合に実行される行を指しています。
図 3. ランディング スクリプト (V1) のサンプル (サンプルの出典: VirusTotal)

図 3 のサンプルはインジェクトされたワンライナー コードを示したものです。なお、その上に表示したのは、正規化と書式の整形を施した JavaScript です。

ランディング スクリプトのバージョンが異なっていても、インジェクトされたスクリプトの中核機能に大きな違いはありません。もっと後のバージョンはさらに難読化を含んでいます。上の図 3 の V1 のサンプルは、中核となる機能を非常に明確に示しています。書式を整形しているほうの JavaScript コードでは、6 行目で、XMLHTTPRequest がペイロード サーバーとやりとりし、そのレスポンスをペイロードとして実行するようすが示されています。

V2 のランディング スクリプトの主たる機能とワークフローは V1 とほぼ同じです。唯一の違いは、V2 がペイロード サーバーとやりとりするつど、トークンを追加する点です。このトークンには ランダムな文字列が 2 つ含まれています (図 4)。通常、このトークンの長さは 21 ~ 22 バイトです。

画像 4 は、Parrot TDS のランディング スクリプト V2 のサンプルです。2 本の矢印は、上のものが「ランダムな文字列を2 つ生成」、「2 つのランダムな文字列を連結してトークンを生成」です。条件は、1: リファラーが存在すること、2: リファラーにホスト名が含まれていないこと、3: クッキーが存在しないこと、です。一部の情報は割愛されています。
図 4. Parrot TDS のランディング スクリプト (V2) のサンプル (サンプルの出典: VirusTotal)

V1 や V2 と比べ、V3 のランディング スクリプトには大きな違いが見られます。V3 には、主に文字列の格納場所として機能する新たな関数が含まれています。以下の図 5 では、この関数に「文字列を提供」というコメントを示してあります。

画像 5 は、Parrot TDS のランディング スクリプト (V3) のサンプルのスクリーンショットです。一部の情報は割愛されています。上下に 2 本の矢印があり、上の矢印には「文字列を提供」、下の矢印には「文字列の順序を変更」というコメントがついています。
図 5. Parrot TDS のランディング スクリプト (V3) のサンプル (1/3) (サンプルの出典: VirusTotal)

Parrot TDS のランディング スクリプト V3 内には、文字列を格納している大きな配列があります。配列内の各文字列は、単語の場合もあれば単語の一部の場合もあります。ほかの関数は、これらの文字列を使い、キーワードや文字列をランタイムに動的に組み立てています。

このほか、前述の関数とはべつの関数が、この文字列配列を変更します (図 5)。このせいで、スタティックな難読化解除では分析がしづらくなっています。それ以外の点で V3 の中核機能に以前のバージョンとの大きな違いはありません。

ランディング スクリプト V3 サンプルの残りの部分を、以下の図 6 と図 7 に示します。

画像 6 は、Parrot TDS のランディング スクリプト サンプル V3 のスクリーンショットです。一部の情報は割愛されています。矢印は上から下に「XMLHttpRequest.onreadystatechange」、「XMLHttpRequest の追加パラメーター」、さらに追加の XMLHttpRequest 関連の文字列を指し示しています。document cookiedocument.location.host namedocument.location.protocoldocument.referrerXMLHttpRequest.get (前のセクションで定義されたもの)1 本の矢印が、レスポンスに ndsx が含まれている場合に実行される行を指しています。
図 6. Parrot TDS のランディング スクリプト (V3) のサンプル (2/3)
画像 7 は、Parrot TDS のランディング スクリプト サンプル V3 のスクリーンショットです。1 本の矢印が、レスポンスに ndsx が含まれている場合に実行される行を指しています。2 本目の矢印は「indexOf」を指しています。
図7 Parrot TDS のランディング スクリプト (V3) のサンプル (3/3)

V3 と比べ、V4 のランディング スクリプトには難読化がさらに追加され、配列のインデックスが若干異なっています。このほか、V4 では、JavaScript での数値と文字列の扱いに影響する追加の変更が実装されています。こうした変更はありますが、V4 のランディング スクリプトの全般的な機能は V3 のそれと同じです。

以下の図 8 ~ 11 は、ランディング スクリプト V4 のサンプルを示したものです。

画像 8 は、Parrot TDS のランディング スクリプト サンプル V4 のスクリーンショットです。コードの多くの行には、関数とそのほかの引数が含まれています。
図 8. Parrot TDS のランディング スクリプト (V4) のサンプル (1/4) (サンプルの出典: VirusTotal)
画像 9 は、Parrot TDS のランディング スクリプト サンプル V4 のスクリーンショットです。コードの多くの行には、関数とそのほかの引数が含まれています。
図9. Parrot TDS のランディング スクリプト (V4) のサンプル (2/4)
画像 10 は、Parrot TDS のランディング スクリプト サンプル V4 のスクリーンショットです。コードの多くの行には、関数とそのほかの引数が含まれています。
図 10. Parrot TDS のランディング スクリプト (V4) のサンプル (3/4)
画像 11 は、Parrot TDS のランディング スクリプト サンプル V4 のスクリーンショットです。コードの多くの行には、関数とそのほかの引数が含まれています。一部の情報は割愛されています。
図 11. Parrot TDS のランディング スクリプト (V4) のサンプル (4/4)

私たちが集めたデータでは、Parrot TDS ランディング スクリプト サンプルのうち、ndsj というキーワードを使うものは、ndsw というキーワードを使うものよりもずっとまれです。私たちは ndsj というキーワードをもつランディング スクリプトのサンプルを、V3 と V4 に含まれるマイナー バージョンとして扱っています。

集めたランディング スクリプトのサンプルを確認したところ、V1 〜 V4 にも ndsj のキーワードをもつものにもぴったり当てはまらない、そのほかのランディング スクリプトのバージョンが見つかりました。これらのサンプルには次のようなものがありました。

  • Canvas オブジェクトを使ってペイロードをロードする特殊なバージョン
  • 追加の難読化と、decodeURIComponentString.fromCharCode などの WebAssembly コードを含む高度なバージョン
  • さまざまなキャンペーンからインジェクトされた JavaScript コードを含むサンプル (Web サーバーの脆弱性が長期にわたって放置された場合、そこにある JavaScript ファイルには、悪意のあるコード スニペットが雑多にインジェクトされることがありうる)
  • 入れ替え可能な難読化を適用した複数のマイナー バージョン。たとえば数値や文字列値を使うものや [ ]ないしピリオド(.)を使ってオブジェクトのプロパティにアクセスするものなど。数値や文字列値は 10 進数の値ないし 16 進数の値で表わされていることがある

以前のサンプルでは、インジェクトされるランディング スクリプトはワンライナーの JavaScript コードで構成されていましたが、2022 年の 8 月以降は、複数行の JavaScript コードがインジェクトされた Parrot TDS サンプル数の増加が観測されています。スクリプト ファイル内にある悪意のあるコードは、短い複数行のものより、長い1 行のもののが検出しやすいので、これはおそらく回避手法と考えられます。

Parrot TDS のランディング スクリプトは、被害者の Web ブラウザーをプロファイリングし、それがすべての設定条件とうまく合致する環境なら、被害者のブラウザーに対し、ペイロード スクリプトを取得するように指示します。

Parrot TDS のペイロード スクリプト

Parrot TDS のペイロード スクリプトは ndsx というキーワードを使っているので比較的容易に識別できます。

ランディング スクリプトと比べると Parrot TDS のペイロード スクリプトの一意なサンプルは少なくなっています。私たちは Parrot TDS のランディング スクリプトのバージョンを 4 つの主な種類に分類しましたが、ペイロード スクリプトについては 9 種類に分類しました。

これらのペイロード スクリプトはほとんどが悪性ですが、V1 は被害者の Cookie 値を設定するだけなので基本的には無害です。Parrot TDS ペイロード スクリプトの残り 8 つの主なバージョンには悪意があります。

V2 が最も多いペイロード スクリプトで、私たちのサンプル セットの 70% 以上を占めています。図 12 は、Parrot TDS ペイロード スクリプトの分布を示したグラフです。

画像 12 は、バージョンごとに見た Parrot TDS ペイロード スクリプトの分布を表す棒グラフです。V2 が 71.3% で最大です。
図 12. バージョンごとに見た Parrot TDS のペイロード スクリプトの分布

V1 は Parrot TDS ペイロード スクリプトの最も単純なバージョンで、1 年後に期限が切れる Cookie を設定するだけのものです (図 13)。このペイロード スクリプトは事実上無害です。

Parrot TDS のランディング スクリプトは、被害者のブラウザーに以前のペイロード スクリプトが設定した Cookie がない場合にのみ、ペイロード サーバーにクエリーを実行します。この V1 ペイロード スクリプトは基本的に、現在のブラウザーを 1 年間のフォローアップ アクションから削除するものです。

画像 13 は、Parrot TDS のペイロード スクリプト V1 のサンプルのスクリーンショットです。現在のブラウザーは1 年するとフォローアップ アクションから除外されます。
図 13. Parrot TDS のペイロード スクリプト (V1) のサンプル (サンプルの出典: VirusTotal)

V2 のペイロード スクリプトは単純です。このバージョンでは難読化は行われず、悪意のある URL から JavaScript をロードするための新たなスクリプト タグを作成します (図 14)。

この Parrot TDS のペイロード スクリプトは、もっともよく確認されているバージョンです。私たちが集めたペイロード サンプルの約 70% が V2 です。

画像 14 は、Parrot TDS のペイロード スクリプト V2 のサンプルのスクリーンショットです。現在のブラウザーは1 年するとフォローアップ アクションから除外されます。
図 14. Parrot TDS のペイロード スクリプト (V2) のサンプル (サンプルの出典: VirusTotal)

Parrot TDS のペイロード スクリプト V3 には難読化が含まれていて、Microsoft Windows を実行している被害者だけを標的にします。図 15 は、ペイロード スクリプト V3 のサンプルを示したものです。

スクリプトの下から 3 分の 1 あたりの ls という関数は、スクリプト内の複数の文字列をデコードするデコード関数を表しています。私たちの調査からは、ペイロード スクリプト V3 が以下の条件をチェックしていることが明らかになりました。

  • リファラー
  • 使用可能な URL 形式
  • 「Windows」のプラットフォーム識別子
  • Parrot TDS が以前 Cookie を設定していないこと

すべてのチェックに合格すると、ペイロード スクリプト V3 は V2 と同じように機能し、悪意のある URL から追加のスクリプトをロードします。

画像 15 は、Parrot TDS のペイロード スクリプト V3 のサンプルのスクリーンショットです。これは悪意のある URL から新しいスクリプト タグを作成します。
図 15. Parrot TDS のペイロード スクリプト (V2) のサンプル (サンプルの出典: VirusTotal)

ペイロード スクリプトの V4 と V5 は似ています。V4 は実際には V1 のペイロード スクリプトにコードを追加したものです (図 16)。

V5 は実際には V2 のペイロード スクリプトにコードを追加したものです (図 17)。どちらの場合も、追加コードは元になった V1 ないし V2 の関数より上に挿入されています。

画像 16 は、V4 の Parrot TDS ペイロード スクリプト サンプルの 2 つのスクリーンショットを上下に重ねたものです。下のスクリーンショットは、Parrot TDS のペイロード スクリプト V4 の最後のところに V1 の形式のペイロードのセクションが存在することをオレンジ色の四角形で強調表示しています。
図 16. Parrot TDS のペイロード スクリプト (V4) のサンプル (サンプルの出典: VirusTotal)
画像 17 は、V5 の Parrot TDS ペイロード スクリプト サンプルの 2 つのスクリーンショットを上下に重ねたものです。下のスクリーンショットは、Parrot TDS のペイロード スクリプト V5 の最後のところに V2 の形式のペイロードのセクションが存在することをオレンジ色の四角形で強調表示しています。
図 17. Parrot TDS のペイロード スクリプト (V5) のサンプル (サンプルの出典: VirusTotal)

Parrot TDS ペイロード スクリプトの V4 と V5 にはさらに多くの難読化が含まれていて、これは V3 ランディング スクリプトで見られた難読化と似ています。この追加のペイロード スクリプト コードで中心となる機能は、ランディング ページ内にあるクリッカブル (クリック可能) なリンクをすべてフックすることです。Web ページの訪問者がリンクをクリックするたび、スクリプトが新たな画像オブジェクトを作成して特定の URL から読み込みます。

ペイロード スクリプト V6 〜 V9 にはさらに難読化が含まれています。これらのバージョンは私たちのデータ セットでは極めてまれです。

Parrot TDS の標的

Parrot TDS は現在進行形のキャンペーンの一部で、グローバルな被害者を対象としています。このキャンペーンを通じて侵害されたさまざまな Web サイトからのランディング スクリプトやペイロード スクリプトのサンプルは毎日確認されています。私たちの調査のきっかけとなったのは侵害されたブラジルの Web サイトに関する情報でしたが、Parrot TDS を提供していることが判明した危殆化された Web サイトは多種多様であることから、被害者は特定のセクターや国籍や地理的な場所には限定されないことがわかります。

この攻撃者らは、自動ツールで既知の脆弱性をエクスプロイトしている可能性があります。侵害されたサーバーの大半は WordPress や Joomla などのコンテンツ管理システム (CMS) を使って Web サイトをホストしていました。サーバー側の脆弱性は CMS に限定されないため、CMS を使っていない Web サイトもこの攻撃からの侵害を受ける可能性があります。

結論

Parrot TDS は弊社の脅威概況のなかでも注目に値する脅威のひとつです。同キャンペーンは 4 年以上続いており、新たな技術や難読化により進化し続けています。このキャンペーンによって侵害された Web サイトの大半は、WordPress や Joomla など何らかの CMS を使っています。

Web サイトの管理者は、関連する Web サーバー上でホストされているファイルを検索することで、Parrot TDS によりサイトが侵害されていないかどうかを検出できます。たとえば、Parrot TDS に関連付けられている ndsjndswndsx などのキーワードでサーバー コンテンツを検索するとよいでしょう。管理者による監査を実施し、Web サーバー上にある余計な .php ファイルを発見することもできるでしょう。

保護と緩和策

パロアルトネットワークスのお客様は、以下の製品を通じて、上記の脅威からさらに強力に保護されています。

Advanced Threat Prevention セキュリティ サブスクリプションを有効にした 次世代ファイアウォールは、Threat Prevention シグネチャー 94702 を通じたベスト プラクティスにより、Web シェルファイルのトラフィックの防止に役立ちます。

  • Advanced WildFire: 本稿で解説した IoC に鑑み、Advanced WildFire の機械学習モデルと分析技術の見直しと更新を行いました。
  • Advanced URL Filtering は同キャンペーンに関連するすべての既知の IoC を「malicious (悪意のあるもの)」として識別します。

侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、こちらの問い合わせフォームからご連絡いただくか、infojapan@paloaltonetworks.com まで電子メールにてご連絡いただくか、下記の電話番号までお問い合わせください(ご相談は弊社製品のお客様には限定されません)。

  • 北米フリーダイヤル: 866.486.4842 (866.4.UNIT42)
  • EMEA: +31.20.299.3130
  • APAC: +65.6983.8730
  • 日本: (+81) 50-1790-0200

パロアルトネットワークスは、これらの調査結果を Cyber Threat Alliance (CTA: サイバー脅威アライアンス) のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使って、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害できます。詳細は Cyber Threat Alliance にてご確認ください。

IoC (侵害指標)

ランディング スクリプトのサンプル

以下は、Parrot TDS のランディング スクリプト コードがインジェクトされた JavaScript ファイル サンプル 100 個分の SHA256 ハッシュです。これらのファイルは VirusTotal に提出済みです。

  • 0006060d1efe85b23f68f1b6fc086ab2fd5f2d80ca2e363cd0c000fd5a175ce2
  • 000954817a815dd64b6f061fbc28a8c7919616bb1708abb58754d680772a935c
  • 00163ddc2d61a97f58b06ba35cd8b6062a81b6e2b15a9f3917358efedd40a3c5
  • 001ab3bfd48219fa355adf76006118bfc50e9ea3abaf3ff331159c21bf0c3028
  • 00278f1d3b38242b0c461b98f4ad77ee7d10c85204291c02c6c23a472613c4da
  • 00399f6e2d64aa631f5e9fe60e2da4c189535ff79e5e557b9244662866285872
  • 003bef5d2f093a8dad8cae8635d9986d023f515b799373dec008ba75490a9308
  • 003d2f4ade543f7b35999c51d06f6b3cdb0c25dc18816358f76b59698a77aa5d
  • 0044d4afd6e12e6ede2f5fe59943de23b8a986df1e8e4b2f3445dcc5c3ab8208
  • 0048c341751674cca947df44aa1319e58036ca9192415ed63ab8b5a2413e031c
  • 004be99a81506cc2ed4e94a667bb6771140c84a51f61902a24a55b2fd265af29
  • 004d8253f02277ac50955aa0ef6c1a460ce798d94201959079ecdf35dc2f4c63
  • 004dc3e4f73cef86a5476aeaa41de85a8bebea06a2e7f7f654b33640078ffb0a
  • 0050e225e781ee415fae74108108de3200eb3010e2c77e8d265882d3e9c7399c
  • 0054bc9d7a5fc4d630c79d3641ac32f65ab3e61c9c82ad2edca6dcab5a050c65
  • 0059da8643270d09d5b60ea2bbd0d459d6ce54cd54e27facbd8a9b748643fa4b
  • 006154fbc565b387c800206323d80b61fd4a16525fbfc682ae1d7c458aceab58
  • 006a7ae01c1b1939ada3639e59ce8513aa489cd9f59f80a20205e4474ecf0082
  • 0073932eece5b9817b80d1fe1c219a72f0b8d3764039e3313672d938b14f2d8e
  • 00789e764859a749d79a1927e070e2959473f0cf6e0ca2be5b0f666a4e8926c1
  • 007a56bddc9c2171771bcbb654b85b8039c3342ac83fdb060bc2f24d1c5d8814
  • 0087f64098d10cce64219f8456702611e462ab755c4e5cc2e4d719add810e98c
  • 00a23761ffe9a3cefb79be72155354305116d0f60f41b01b0d2f37cbce61d9a5
  • 00be4cae7ccf629d22c6c9c1842341309eac1eb9e7e83ed1ab28997f3c3d4e96
  • 00bf309f513ee8c46435433bf8f1ec19527d16b4f976da1403f8fb753506571a
  • 00bffe2fabe6a57a21d912f4111bd9451e388adcebb1d023fa2c3fe079aad24d
  • 00c11daf1c18160eba63de3b2d712cc8c0abe457f993cc2f81f8c746fc970c12
  • 00c28bfec1fe8ecd139c06791293298430353e449115ef712fdcaae57e35f46f
  • 00dabc4c7753c6b608a8889f9d1367edca1bc2c3b6e92744e0b50abca33b8a87
  • 00ddbc6dc6b571681fae2c4a2d72cd9a7129ee800f326e33279cb337fafc93ce
  • 00df68a21172ddb20bde5bce4606b814022e4bba5fdc5cac457b7f1643f625ff
  • 00ec04f09b4c045e2b95f0ac4723a58457522e3c39fb6157e8d4213c12be0540
  • 00ee956dd06c3a14962c1ea8c447cc2d3e63a28c486dc0bd50e535674ae63c56
  • 00fb7abeb8464e01fe3043b2544bd71a82a9466c5c3ac6b954e62e87314d585a
  • 010622ece3ec9199668bfd2d1637149ede9c242e9672a7531cdaab86da849f77
  • 010fde6958e0107c2d543b2d6afbe492efbfa5fd44cd0a75185c779f31e16df9
  • 01124a700f6984062f26e34dff117b87b7d269557817a7241fa1d00ad5d780a0
  • 011478985c03b81ed04d6d4ce598baf3f7d48aa6e3a58f24de0e74bfe0cadd3b
  • 01235cf8181552124cbd76232607f1a60e8f82c48e0f013765ad6bda59b34e01
  • 0124566011742f850ed029a1aaa11a08ca00bd7f9775df45b0a9bc8740e89c04
  • 0126c6520a793efe328e9820dcbc9d42732f4cfb4b6fd25919d07e7b6c23c781
  • 012830c380ec979ab925b9bed84e6052e2ff5259409fc0bbc49b544e8030b19c
  • 0128a7881e686a5e291fcbd93644d8e670f98802412a5338701222dc5f9a28ca
  • 012b2cfe603de4ade7370ae7ba585e36c818c4193341b488872a4dbdd07bcc2d
  • 01366391de90229ac2b8a7269a4a42df9bd1709f51aece7164ffa4531f518811
  • 0137d093587fb1f42985ca271c8d2d1d601da410168491b66b154d4d003d332c
  • 013f3f2248ad31ebd52e1cf5c139d13bab6690734248bc2a6c83f06fbe43260c
  • 0141c2fe63d36c43558b67f0b884389366b13da3e9f68897b147a445f3328442
  • 01425b3c993e51d80f4e3b5a8f949b25e4fb30e9e9377507ac8b4fd3b7a69ff9
  • 0143d1989d04d70fc035e7eba21ef46b27f2673fd3a7e9df78a802179c33105d
  • 01585ae455c2bbe6471d718bcf845eca55f80e24963d562d847f81eafc672ec1
  • 0159a56803cebaf1544a44e3cee01df30505afb390b83371fa8cbb1d46353800
  • 01660ed180b9d0e4e19d7da313cd8ca818211ce36948eb31742e3da85a51580f
  • 01663c903d345f4aa71e7141e4bffcc25f244c898bf4eda96d9514322ca6e13c
  • 017ff4946dd00acc0da7ddc48e23c9736f735e2dcf0a83cb5613b433fca1960c
  • 018087b1bac5e86f4b6dce4d8c5fdc77c53b96280fe37342a74585e89b9b9665
  • 018f392c9cbf6640dae7d457b33be7d81a08612c911add177c7c5bb39876efc7
  • 01a482c79849908879a39eeacf77078b531f29e5d86c9e9f578a97b2313c98fe
  • 01af830f79aad912bd8a3438bc9e914e159a112df657a1610f50527304657139
  • 01b8b7cf7a93077119aa5062554bb662be230b2e2655a8e53b44b482f4c73a3a
  • 01be768e7bc9ef499ec5b37e4dffecfaab9346489d27b1d6de3b9a67db584e2d
  • 01dc27a4be3f69ebba64a71afde7a4158436b2a423174c6a2196efe9342a870c
  • 01dd3fed62220c53eb9208ab00d0fcce62cf76841e532a9474da5ed47563b978
  • 01de1c2f03c920ac64e73dfdbca363c1f8888534981c6215365b2514b9192f93
  • 01eb0535321d4d1ef0d5f5b3dbb91c341b75e8dbd129c40801c26abcf650331f
  • 01ec9cf7d9cba1294a8dd4803766c37bf20c4cd57d5ae26d990083076d170ea1
  • 01eed0382a2938c7733fc823ee43b2414116237e5793789dafa274e451d1dd75
  • 0203c29fe1c34417e158624fe4f352513f076302b1179a854a5351613b75b9bf
  • 020e6aa377b6ef4ef45efe0906b3b5dfdfe7381099a8fa080a58a457eaef934e
  • 0214510764fee618b8fe18aeb72f643218dde5252d1d568f0fad735ea861f1a8
  • 021519c6b0c63ccadd416fddbabc28001f1b6e8c09cac93a076a013cb98d3afb
  • 021a5e6f490622bbc79d0d42b444ccc856b4e8cfcb77df3d01bad9c8f1177a3b
  • 021a60787a1d4acdfa44fd27510e6aaa6305807c48e8209c892458e43d360323
  • 021cd5b198f6bbf78aacb3f716a7f3355cdac98d835d493b6cb85ee4b9adc8a0
  • 02216dfca8323263933ff53130796d3a445e44251f02c241d95c6bc0f81721cc
  • 022668b33b118e73d391aaf790bd06bb3bb03dc13b58a28a70dde3dc485ecf5b
  • 022feae2851e7993780e08ea328e36521e91c695f3a5304e0dd1df678d7f6c3b
  • 0237268899c037aaee7bde29e28a08f89230e92bbef33dbf0f17ad58ee53af55
  • 023dcc38a7a55f941818aa307203216c6eaf50f8fed529a4c636a89f70119717
  • 0250e4baf4fbd9aba84b25968a7debd4ce83360e0ebef03d5ccbb24f9e17ecf8
  • 0252b75589fe832eb103d64ed7f5e1dcb6417babd6e290c34c79093ff312092f
  • 0255da103745a213d50a2d86770d5381add6bd84bea41edd93ac746c019565ca
  • 025cf7e1e1f39c001c627cf42be1be14ef52a42f760e03db922246a7b114aec1
  • 026cb95e6b415355767655b9f706e1c1f9bf20b242e65aa47b8e1279068f718f
  • 027079961030e5af9bb7382acb2c6b19221b41255f801be540c07b484cded4d7
  • 0270d194a2d4499468b8461796e1cb3d1af301df6b12c2b7193a8baef8c13ce3
  • 0279bd4320fb5025a9d740bbdd0cf2aafb477d684af4ea1ca0e83bab424527fa
  • 02868c886de5090362c6d503e6549e65fbe975f1fa03ddfb18fb0432f5f6bfb4
  • 028d5b2992d88d52ea9e80625e25c324b665fb784bfa9daec3ebba16d01a8348
  • 029415b96774d15e7e2acd2ed45907f67617217345a6aea1fdf65fdb4353e52b
  • 029c44784556ca319015548c3dbeb92b025ed72f918d1d8245b6a6a321a64b7c
  • 02b2312ce68bc4ac2c59ee905b23f8f9d2dfb3fd0f38b5ef896f59e6d74834f8
  • 02b467d42c7d26cdc480ead7c678c2930dc315882caf5531a3e3d503b118d5ad
  • 02c5ebe4418bad22a508f0d430ca1ec6b3d419011f94041b70ad636c89e98980
  • 02d7c155eef3da89d00ecf3718084c361675f3ccd84162cc00f2d4124b9a2346
  • 02e141ad62fc2f8514cdd8221be61f68a9d13de939fa850c4185154538d7c9fb
  • 02f5e9ff5293fd5855d35337e8bb3e3a03b47afa7e71a06de2f8cfd557f4f0d6
  • 02f7b2f58da74dde5a1f09b2492c8f6fa56bb009900378feaf057e6577de8a2f
  • 02fbcc9f2971840c5381b1e0f5052b1067c82ea353e7d2ec6810d001ce25dfff
  • 02fcddc3c5383b505fa9babc3fce93118abedcb7203b8921933f815eb7c7a879

ペイロード スクリプトのサンプル

以下は、Parrot TDS のペイロード スクリプト コードがインジェクトされた JavaScript ファイル サンプル 100 個分の SHA256 ハッシュです。これらのファイルは VirusTotal に提出済みです。

  • 0009fe8aa339fb489abcfd711d5c7b2a70b7d57ae55aae3922669f72cbf5964f
  • 0234918db61115aaa0c3be708084dae30feee8d97a41a011e3fbb06d745c496c
  • 05bcb1f5aa6284333985186f3329f9226d80225fcd25436575aff7735cd4f6e1
  • 0641128e6dba0c69644810e8af88af80ad734af52fe734c655ce26f5a3641097
  • 07f56d3fca2f26e41e9b5a9e3cc6d3bdc6edce18fa12276bc19bab5c3fb19b26
  • 09c4ea62962848f48cfc68d905675bc466574a8011acb79b721b688ec7bfec12
  • 09e06b3fa2194b76a1e73483614ec3f3ab076c55134c3d45e7ac9ea452e51176
  • 0a10157a920b190fb2fba6b6df34e12fd4532e52bc71700b9cefa73f95e60fe6
  • 0cf4f33985dff5e1e7d37d8d5485b3561ffa42d0a31acec10321cdc28c31abdf
  • 0f20659f7cea84ef3b1def6c54555454b1820fd8adf9866b2ea3ed18e341babb
  • 0f334075e5379be32d176048287ea8b787d524e34630509a74ec4cd90fc1b0dd
  • 137bb7784088669d1432243831896cfe5b5fc02d7f207de26d16220b38335c90
  • 174fb6597444ff6d7d59d2981f6aad54c99e763a6123d52319bb2d0ba84bfd29
  • 175a0bb57ec0e0a5728b7f8455a968861dc50c42a1ce8eb437d8b98fd394ea47
  • 1ab04ee02b5359662c26c4c1f10f711d707ac23293193cbcba3cc84d0d070000
  • 1c8bbb02dd1fd46e442caad6fba174b966ea5bd9d27d6315991b904792693d54
  • 1ca06df44cce9aa64294a8e55c41e654ab6b766ab76faa39a34363cce4e83e08
  • 1e01bf738bc665f149b0793af461a43f4330ecf99dd068e2b7abd038c46ef417
  • 1e5ca993bc0afee9eb23436ea2e0bfbede934ce2be850d3122cc429fd73d01c1
  • 1e6d8d031bbb4a4e15f8c15941dc27944e62727116338957306db9610351911a
  • 20f9cd4ef8616afb8a62eabf6ca1c252c54021dc03ba621bab2e00db8fb6bbc1
  • 21114a66a1934b806a8b1b76f924fdb9876047316ba8d26c2ac94c1b0e908cb5
  • 244221e80cbc510ea4e62f49fc1a377dcc5365899c2f92f7807b91cdeb20476d
  • 25786bcc47e97d9e55588b4e2962aeb9760cd546629bb5fd08799ba8c9e8d027
  • 25af4cd7c60671f1af9bbf17441b8951b8751ee1299dd7fa97ba4afd6021642c
  • 25e4bc712d895d8bfce72fab30eef25da18591979c672d1fbd976bac2e0cf1ca
  • 2707ac252eb0abce8dcb9b1eb35b4d306e111e59e09f6acb03180425ee81fd4f
  • 2726854efc42c00d7064abf99ef451d05975e7461c42e7897ba1b0c6336f153e
  • 2c961d64aeefe73c43a96739c52047fd1f39af5af86e388689531cdd83b00045
  • 2c9eafa9914032112c170e3dc12d40c03ee1e873bade8bfed36b6a7759ff1dd5
  • 2dd1db4ff9da32d73ac876e513f20c1da6d83031969f645e3e014e96134a8aac
  • 2f9e5ea05aa8cd81c1c1f0914220557c5dc4a8bc42ee822bd327e3cfc3328f45
  • 2ff953a5d7e760ad4d4a06d2ad68d43c42f388a9c6fb6e9d0c6341dd05c33374
  • 3032a2affd7d9a3dd9418b3fab3c88af2bc0f71e3baaad8e478ec85af569c912
  • 31562bdf22a927837f6fdb333e72bc3cf8da067143cb3d99663ce7224d0f8901
  • 31a15a342e6d65ecf2987d83458f1ff5587662ea794a42b7f54393bd8531025d
  • 34fdb99c3e895a66c814aedf6e29c075ee5fac7aa1190903759ec08766bee28c
  • 36b4a9947b26ee3e86f495fce1a767a773b911b37bad2008215a5488314cf48d
  • 3ce09915fa674481076bac26a985c39a0252cc7452e0ff2ea4c9d62d38b49958
  • 3d1aaafea2a4757f1ccdd4759ec42ca566220fab7717efa2face1998ccc6a8c7
  • 3d99d924a59ef070c2f2df7de660b10704171fa74d68442bf80a076d1d4ae9de
  • 3f8e3f9fb2f2d2c6f5257d7ffd597be6758ca48867bef3aa83a244fcfcc9647b
  • 411f94f34ce1b603867f64689d91dfe7ffd92dd69a2ad5ef518fe3564401f69b
  • 41c4914a2cda7a9c3deb0a85a17c9f964c95dc1e0dbdfd8727d7d7ebaed3c66f
  • 44ba1192916ccc51c0bda43aa9a40d3ebb7f8480ce2554092ec2198e99e2f9ea
  • 474a0fa3ecddd9a7eef503c10a6e09f34384c7a301e6ba92474c8b809aff841a
  • 4f0d9b754402ac02b36b470e93cb712724a2c505c798d3cb8d23662c1303e4f2
  • 539ecf094f122790b157415933bb0122417015fff914a848ff5b83d1c3ce69eb
  • 53ca5aaf4786aa235795c9b4a2648bed523f38d115a5791bd26b3e22e9e6f109
  • 53e703d262af2c91d8be81ca0e32c7f9b3dbc8b6d571ad3a480bff020a8cae04
  • 54774aef9a494e29a072bc729f8482fba6dc530a045d40e4453d61beac8d8355
  • 56514cfce2dd75f2dafeebf385bc827bd1b7392f65bac98ec9791526f724fd66
  • 5666d18866973f608cccf95c7dbf56d56bb3027121af701bd779f9ab794c53b1
  • 56a1123d2c25a9ee7c674aa10ea8be720a23cabe74b68dca017c93944cee15e4
  • 5b0ecde609dc384857508b71851062b6dc158d37d26ad3e6baf4407877ada9de
  • 5b481fc971f724141c54e4fb6eb992056256098cd2284b717912a75714864179
  • 5ca0afa8d1665d8ad314543c5924fc4c8679ffa5360a3ec4bb2e3a79a865b730
  • 5f87cdf1ccd448d8f90b79d80153fbae143ec9dfa1c79a5ba9193609975d0d35
  • 5f9fa969df10a03d38c26050655645c0b8cd00c4ae35b62d9e355815ef722b21
  • 5fd89dab9bcdcd783ae96c0b42f5761d2d24a6192d730040a50ffb4b5c95850a
  • 6168dc254c4c6dd6a5461c56fd1fdb65821f04d9ac23e4d70b62d447ce77971d
  • 61c76044609b8f522546991b2683239bba734ca290981e5ed25099f46312fd04
  • 6323837b455a41f34cfd526c2c2ffb6fb3a826c4f482ccdf66801ece0ca6f1e7
  • 6385e6004a9d11485d076f2b9b79b2ddf468b629aef0f66c22c7bffa3d7ebc3a
  • 638fd2159534b7b180ef2ca0633f6ee5d09af8cddbac758e1cde1ca6aec1ca8c
  • 63f48e94e38c7b5e441c3aeb0c74141bd6d7fc7ab03a345d09d67c8e8b871ca9
  • 6fed7c758e0484b53fd3efaa622b609052dcf5ad34768181d3ff8e22cb6e6e2f
  • 732457475da8c47cf211f5eb3a6529c9aa8976ce26d50f2e90422278c2160d5e
  • 738f775e1031402f228c1246d10d9c13af1d461596319bea87f8b20d085349cd
  • 73e5dc70d286c24265f71de61016404934991d0b41c4962420c1490469111b4e
  • 778f4a8f061efea0efca1669c4eb0f26c7d1cc02e003fc01f43ddba328ebfc92
  • 7ab4fce62ebf632bca176894152a88e38965708bffdae4357a8b6c6defa1724d
  • 7accd14f469d79c4539c5887faf79407e6a06111612d2b63eb9f34c5afe7c74f
  • 7e9feda6e593b6d7e3c15032edb0cd3e2d1ec585d8f5691e951ac70059ce4240
  • 801626f005b40b0ef889f93c64f991e53318393fb0efdd30bb30185a12cb7480
  • 817af2e8193d3a226dad46bef33e55a56b3a56ff035cc0e68067e2eb61975dc5
  • 81d99d01f6909a2ae027e3a0d792b7c517b312fcf2cc03228c2a5348ad796582
  • 865cc44cf024bc083f5bfd3d5d3c9c1334e1c629de1698fcda26feeb26f73dc3
  • 86b84a35d28207783bd79e34f6f2e687e6e38fd9fb78df90b1cc7e6f302e0084
  • 87549ec7913d919dff9678b38b040ea9b77c84f29aa3dea487dc7a80e4a0950d
  • 87768a7c92ebc8419e08209e55eb1f713d5ed7be411ed3b52555f8a29fe4a3f9
  • 87fb8a757f5de0f4cb4f8b4f568068e8c12f376562b1f5d1df118b4dc3076564
  • 8f896f3f0b5f33413217e9350dba6d4958cc9bdf568902a08d739b43db6f993b
  • 92322cc99cc5bd84bd1f06de8412b7f907e03a66489d147a1d3a77b2d3b0aacb
  • 9707f57ca55e1f0cc975488ab10188f885589db427beef7df9adc3bd4e95bd62
  • 98a230f8bed756447d8f8dcfb1485e395068eae511ca7b3a10049848427682af
  • 9bbafb672ee8f9c8eec8ee111962db7aa49e6e91f2fc3a23b0d5f32152f5101b
  • 9be661e3218290ebd4de59037d1360f4bec7e2f521d09a063da994d838160fce
  • a0b928edf0cf8efba7d2b2edcc43419ec7568d70717ba44ffc6c24fb9ebb9464
  • a1dab97450e66028c0f1e62620354cd9d71b99d1517f7cceef59c4c0a5de44f6
  • a226f8878b2c440932c5d9e215384733226d3942efecbb05f84cb34555c99e9f
  • a296db98c85c21b8f4c60a651a56aa745385d769f76c4f35e7f8cef6ee16c841
  • a6b8f4094bf162b6007006b51aad4f1fe4930e1bf458d6d47ebe7047f8895039
  • af84372409235ad5f716b758b24e384f3506d771bad4460676de9ea3c375e9d7
  • b07c3cbacb4d238e209aabc19754852c536ba708ee4b19fd8fbc32580a7e119a
  • b14ba04ffc4b680225cc76912317570c09f06e8c6cec1a4b2092cbbff0668bd4
  • b727b3fe958407787c9929fef59b6735861be12ebcf8c72aa6ed7b9cfa6829c6
  • bc1d29c3ac08b1a4f30b3f4930dc5e07bdeb0ba55cfe7ad684021a63bf72db71
  • bc88f6e79d49242e16cb30b64d1b8948c7d9333785476b4e8d24f82403290454
  • be8bf730a23766f917c1f90e79bbd23c76b7a12572eeda4bc38ff46ce17f9c9a

追加リソース