来自 数据 2021-05-02 16:19 的文章

抗ddos_云服务器安全防护_免费测试

抗ddos_云服务器安全防护_免费测试

CVE-2017-8570和CVE-2018-0802利用漏洞传播LokiBotZscaler ThreatLabZ一直在跟踪恶意RTF文档的使用情况,这些文档利用CVE-2017-8570和最近的CVE-2018-0802漏洞在受害者计算机上安装恶意负载。在这个博客中,我们将分享我们对利用这两个漏洞来交付LokiBot的活动的分析。这些恶意文档通过使用网络钓鱼电子邮件诱骗用户打开和执行它们来传播。图1:利用攻击来感染目标机器的恶意文档下面显示了一个带有附加恶意RTF文档的仿冒垃圾邮件示例。图2:带有附加恶意RTF文档的钓鱼垃圾邮件在LokiBot传播活动中,我们发现这些文档要么与CVE-2017-8570或CVE-2018-0802利用paylods进行武器化。这两种攻击的工作流程如下所示。图3:CVE-2017-8570和CVE-2018-0802 CVE-2017-8570的工作流此漏洞绕过了针对CVE-2017-0199的Microsoft补丁。它使用RTF文件中的复合名字对象在受害者的计算机上执行Windows脚本组件(WSC)文件或scriptlet。scriptlet是一个XML文件,ddos防御推荐,包装了VBScript、JavaScript等脚本打包机.dll将SCT文件放入%TEMP%目录并使用该漏洞提供的升级权限执行该文件的技巧。文档中有两个objdata编码并嵌入其中,ddos攻击的防御流量,如下所示。图4:Objdata1"Package"ActiveX控件01050000 02000000=OLE object 08000000=以下字符串的长度5061636B 61676500=ActiveX名称"Package"CB060000=以下二进制数据的数据长度执行RTF文件后,嵌入的SCT文件被放入名为V2BRUIICCL75的%TEMP%目录中CPT.sct公司. 这个SCT文件将由RTF文档中的第二个objdata执行。图5:Objdata2"OLE2Link"利用复合名字对象RTF有一个复合名字对象、文件名字对象和新名字对象一起工作。图5中所示的字节序列是以下CLSID的二进制表示。{00000309-0000-0000-C000-000000046}=复合名字对象{00000303-0000-0000-C000-000000000046}=文件名字对象{ECABAFC6-7F19-11D2-978E-0000F8757E2A}=New名字对象在文件名字对象CLSID之后,后面有一个长度字段,国内cc防御,后面是文件路径,它将执行保存在"%TMP%\v2bruiccl75"中的新对象CPT.sct公司". 简而言之,这个对象将通过在RTF文档中使用复合名字对象来执行文件。删除的SCT文件看起来像下面的屏幕截图。图6:%TEMP%\\v2bruiccl75CPT.sct公司这个SCT文件被RTF文档删除并执行。SCT下载了恶意的JavaScript文件价格.exe来自juanjoseriffo[.]com/ed/价格.exe,用名称将其保存到%APPDATA%windowsis.exe,并执行它。CVE-2018-0802:此漏洞利用是一个堆栈溢出类型的CVE-2017-11882修补程序绕过漏洞。此漏洞仅适用于使用CVE-2017-1182修补程序更新的系统。此漏洞背后的逻辑类似于使用office embedded formula editor EQNEDT32.EXE的远程代码执行漏洞(CVE-2017-11882)。图7:RTF文件利用CVE-2018-0802文档文件的第一个对象数据正在使用打包机.dll将文件放入%TEMP%目录。恶意可执行文件,长度为0x000868B6的,高防cdn招代理,将被放入名为的%TEMP%目录中价格.exe. 与CVE-2017-11882一样,此漏洞的实际数据在OLE对象的等式原生流中,如下图所示。图8:RTF文档中OLE对象的公式本机流丢弃的文件%temp%\价格.exe将通过Microsoft Windows命令行解释器执行。LokiBot:RTF文档丢弃的恶意可执行文件利用了上述两个漏洞,它们来自LokiBot家族。LokiBot是一种恶意软件,能够窃取用户的私人数据,包括存储的凭证和加密货币钱包。被盗信息被转发回指挥控制(C&C)服务器。LokiBot恶意软件的有效负载在这个活动中看到是使用Borland Delphi编译的,并且是UPX打包的。执行后,恶意软件会将自身复制到"%APPDATA%\Microsoft\Windows\Start Menu\Programs\startup."的启动文件夹中,以确保系统重新启动时的持久性。之后,示例使用RegOpenKeyEx和RegQueryValueEx函数从注册表项HKEY_LOCAL_machine\SORTWARE\Microsoft\cryptography\MachineGuid读取计算机GUID。图9:获取机器GUID一旦从注册表获得机器GUID,LokiBot通过调用CryptAcquireContext、CryptCreateHash、CryptHashData和CryptGetHashParam API计算机器GUID的MD5哈希。示例将机器GUID的MD5散列修剪为24个字符,并创建一个具有此名称的互斥体,如下所示。图10:互斥体的创建互斥体的目的是确保受感染的系统上只有一个LokiBot的有效负载在运行。信息窃取模块一旦安装,Lokibot就能够从以下应用程序窃取存储的凭证和其他私人信息:Mozilla Firefox Opera Apple Safari Internet Explorer Google Chrome Chrome Easy FTP DeluxeFTP WinSCP Outlook CheckMail Filezilla NetDrive myFTP Putty360浏览器KeePass和more LokiBot在%APPDATA%中创建一个隐藏目录,其中目录名是从互斥体名称的第8个字符到第13个字符提取的字符串。它在运行时在隐藏目录中创建四个文件,所有文件都使用从互斥体名称的第13到第18个字符提取的字符串命名。图11:LokiBot创建的文件文件说明:.exe-用户每次登录时都会执行的恶意软件副本。hdb-已发送到C&C服务器的数据哈希数据库。kdb-必须发送到C&C服务器的键盘记录数据。lck-为防止所有目标应用程序后的资源冲突而创建的锁定文件LokiBot对存储的凭据进行了分析,准备收集的数据并将其发送到C&C服务器。图12:发送到C&C服务器的请求图13:发送到C2服务器的第一个数据LokiBot发送的信息包含系统信息、应用程序数据、Windows凭据、加密货币钱包、键盘记录数据、屏幕截图等。它将每隔10分钟向C&C服务器发送一个请求,请求C&C命令,恶意软件会根据C&C命令进行操作。Zscaler保护:微软发布了CVE-2017-8570和CVE-2018-0802的安全更新。Zscaler将这些恶意RTF文档检测为"CVE-2017-8570"和"CVE-2018-0802"。Zscaler将LokiBot有效负载检测为"Win32"。洛基博特". 关于这个威胁的Zscaler云沙盒报告可以在下面看到。图14:Zscaler云云沙盒子LokiBot报告IOCs:MD5:[CVE-2017-8570&CVE-2018-0802]A63D162C20A1acaca48f70faae80a01de b94d68dd3889f65c65c242422ef7ba一c633806de81c91918181d572740e3254 9d76766561a821264183b62dd152152aed9 98af7f7f40bb7b96aca18786d50c60c979 C0a2f24f9fa6ff98f98fbdae9fb29ff98fbdae9b21e40dd32c3b99049c3b99049c32e40e40e40e9c3b990432c3f32E678365D7F1C7DF544763388A88AA66FCE64B9B12F1B3A174A2849605694372C6010AEB87 E1921789F0A834A1183D73D54D53BB9D FA45C8D1FBAEE60CB84848497717CB53 MD5:[乐基博特]C247F97369944D50D176DDD76D16D50D76DDC4ED558B7CBE06972081568F634E0226FBF8E08E0226FBF8E0D4BBF779D8D8BBF779D8F2213BB8D8D8D6BBD8D6BBD6BBD6D6D6B48CF118DF6444D6449A1Ba62F7年F9744F9744D5年D5年传真:E90AB350B42205B06E33441A6B7826594195192B66A50FD0641019F634D2C86C EAF119844AEDA0E40A87995786D5C44CAC26ECE0774DB979D672890F4C2F6F88 CE9679A154D5290C0BD58B6CE765982 AB6554A587CAF38AB4CD514EA2D3FF网络:juanjoseriffo[.]com/ed/价格.exesariraatjgaye[.]com/edu公司/法语.php31.3.230[.]31/箱/chi.exe文件格朗特[.]com/Chisom/five/法语.phpb、 帝国/pjrazz.exe文件b、 帝国/vncqoy.exeb、 帝国/ymqrza.exe192.189.25[.]114/露水1/法语.php192.189.25[.]17/圭2/法语.phpfiebiger[.]us/222.exe umumi[.]xyz/222.exe umumi[.]xyz/js2.exe adimm[.]xyz/onyem/法语.phpumumi[.]xyz/shaq1.msi umumi[.]xyz/zu/法语.php阿迪玛[.]xyz/ben66.msi阿迪玛[.]xyz/benji/法语.phpklk[.]主办/2018/iy.exe文件klk[.]主办/2018/李.exeklk[.]主办/2018/pa.exe文件klk[.]主机/iykesettings/settings/settings/settings/settings/设置/法语.php20美元[.]公司/assetss/css/images/open/埃里克.exeextrainformativo.com网站[.]au/wp content/themes/travelify/library/font/Gen/法语.php莱蒙伍德公司[.]za/wp admin/css/colors/blue/main/鞋.exekbfvzoboss[.]投标/外来/法语.php 

,100m宽带防御多少ddos