来自 DDOS 2022-05-12 19:50 的文章

服务器防ddos_防ddos教程_指南

服务器防ddos_防ddos教程_指南

核弹组攻击套件的辐射对Windows机器具有剧毒

最近几天,avast!病毒实验室观察到通过漏洞攻击工具包分发的恶意软件活动频繁。大多数感染案例都是通常提供成人娱乐的小型网站,但也有消息称,100m带宽可防御ddos流量,前300个访问网站中有一个受到感染。

感染链最终以一个可执行文件的形式丢弃了一个最终有效负载,该文件具有一个固定的、非广泛传播的名称,什么是cc如何防御,如1skkk.exe。仔细查看后,我们发现此文件名在攻击性恶意软件威胁中共享-银行特洛伊木马,如Win32:Citadel、Win32:夏洛克/Caphaw、Win32:Ranbyus、Win32:Spyeye;像Win32:Neurevt(又称BetaBot)、Win32:Gamarue、Win32:Cridex、Win32:Fareit这样的隐形信息窃取者;甚至像Win32/64:Expireo(受感染的dbghlp.exe)这样的文件感染者,

我们在过去10天内收到了约1000个具有可疑文件名的独特样本,多态性地覆盖了约30个恶意软件家族和许多不同的包装程序。在我们的数据库中研究受感染的iFrame,我们发现了一条感染链,该链导致一个具有奇怪名称的负载,该名称如下:

正如我们最近关于小型黑客网站的博客中所提到的,一个攻击工具包从测试受害者系统的可能漏洞开始。这可以通过检测可利用漏洞的软件版本来实现(在方案中表示为插件检测)。为了避免检测到签名,添加了一个包含正确脚本的混淆级别:

在放入检测签名后,正确的脚本发生了更改。我们可以看到一个在野外被检测到的持续数小时的窗口:

让我们从影响Internet Explorer的分支开始。类似地,与插件检测脚本一样,从包装器JS脚本中提取漏洞后对漏洞本身进行评估:

名为CVE-2013-2551的漏洞攻击目标为版本6至10。VUPEN Security已对该机制进行了分析。我们试图手动复制这些有趣的方法,我们得到了外壳代码的以下入口:

执行是通过使用CoDispatch::AddRef()过程中使用的宝贵操作覆盖关键指针来控制的。调用将流重定向到vgx.dll库中小工具(字节序列0x8B 0x01 0xFF 0x50 0x04)的第一次出现,该小工具表示"mov eax,dword ptr[ecx];在x86汇编中调用dword ptr[eax+4]"。这两条指令将流重定向到位于ntdll.dll中的小工具序列中,这些小工具涉及使用外壳代码更改内存区域的执行标志。在这之后,执行到达正确的外壳代码:

我们可以通过使用AVAST的脚本盾显示点击来粗略估计分布。我们看到了一次大规模的交互,每周有上万次:

CVE-2012-1723

赛门铁克于2012年7月对该漏洞的机制做了一次很好的总结。在除臭过程之后,我们得到了一个类似的Java代码,如本文所述,这有助于识别该漏洞。基本上,第一步是突破Java沙盒,然后基于静态变量和实例变量之间的混淆利用该漏洞。URL由DecodeAndExec.decode方法从小程序参数ur0l0的值获得,并在最后一步下载。下载文件名和执行方法的常量模式SKKK可见:

CVE-2013-2460

此分支通过加载JNLP脚本使用Java安全警告旁路(一个弹出窗口,警告不要启动未签名的Java小程序被禁用)。漏洞的原因是不安全地使用java.lang.reflect.method类的invoke方法(通过安全探索记录和PoC编码)。

CVE-2013-2423

此分支还通过加载JNLP脚本使用java安全警告旁路。

通过将Double.TYPE更改为Integer.TYPE然后禁用安全管理器使用反射将整型字段从一个对象复制到另一个对象,但由于修补类型字段,反射认为整型字段是一个双字节,并复制8个字节而不是4个字节(此处有更多详细信息)。

这一利用分支一点也不新鲜。该文档包含一个嵌入式XML脚本,其中JavaScript定义为XFA表单模板(初始化表单时调用)。如参考文献中所述,模糊JavaScript(在我们的方案中被描述为JS wrapper 3)对通过连接PDF文件的两个压缩原始流而获得的缓冲区进行解密。结果是另一个模糊的JavaScript最终实现了CVE-2010-0188利用。外壳代码是通过以下方式获得的:

,外壳代码本身动态地类似于IE情况:

从位置loc_176调用从0x6A开始的过程会在堆栈上留下以下指令的地址(实际上它是显示url的偏移量)。将值弹出到ESI寄存器中,使其可用于urlmon!URLDownloadtoCacheFileA call.

Win32:Spyeye

此银行特洛伊木马已知已久。这一事实的优点是,通信协议众所周知,因此我们可以很容易地重建接收到的数据:

使用配置生成器,这是一种在Carberp中可用的工具,我们可以看到该特洛伊木马用于破坏远程银行页面的实际webinjects(电话号码和签名密钥的文本框绝对不应该存在):

Win32:Viknok

该银行特洛伊木马以先进的隐蔽方法让我们大吃一惊,比如多重代码注入和持久性。外层是我们习惯的定制包装。然后提取一个滴管部分,并将其注入到explorer进程中,防火墙防御ddos,以便执行包含适当负载的驱动下载内容。此处对功能进行了简要说明。