来自 数据 2021-05-03 00:18 的文章

香港高防_美国高防服务器哪家好_怎么办

香港高防_美国高防服务器哪家好_怎么办

查看最近的Tinba银行木马程序变体Tinba是信息窃取木马。该恶意软件的主要目的是窃取可能是浏览数据、登录凭证甚至银行信息的信息。这是通过向系统进程中注入代码来实现的(Winver.exe文件以及资源管理器.exe)在各种浏览器中安装钩子,ddos攻击防御科手机版,比如IExplorer、Chrome、Firefox和Opera。已知Tinba是通过垃圾邮件附件和驾车下载到达的。最近,CC防御官网,钓鱼者漏洞工具包实例也被发现为Tinba银行木马提供服务这里。详细的Tinba Tinba的分析是用一个定制的打包机打包的,cdn高防哪家好,并使用著名的反调试技术,安全宝防御cc,使用WinAPI函数"IsDebuggerPresent"来阻碍二值图像的逆向工程。Tinba感染周期的执行流程如下所示。Tinba的执行流程下图显示了我们正在查看的Tinba示例所使用的自定义打包程序代码。Tinba解包例程解包后的二进制图像如下所示,执行后将执行代码注入系统进程,ddos防御共享dns,如Winver.exe文件以及资源管理器.exe. 解压二进制文件它使用受害者机器的根卷信息生成互斥体名称,如下所示。互斥体名称生成远程线程系统进程中的远程线程在资源管理器进程中创建,该进程负责在注册表配置单元的%APPDATA%和自动启动注册表项中创建Tinba二进制文件的副本。资源管理器远程线程Tinba二进制文件存储在一个隐藏文件夹中,该文件夹在%APPDATA%目录下创建:C:\Documents and setting\username\Application Data\mutexname\bin.exe文件它还创建了一个自动运行注册表项,以便在每次启动windows时执行Tinba二进制文件,如下所示:auto start注册表项在Explorer进程中还创建了另一个线程,该线程负责生成DGA(域生成算法)域,并将代码注入IExplorer、Chrome、Firefox和Opera等浏览器。Explorer本地线程域生成算法下面是Tinba variant使用的域生成算法(DGA),其中每个示例都使用硬编码的域和种子来生成DGA域。DGA例程硬编码域和种子这些DGA域是快速通量域,其中单个域通过注册作为单个域的DNS A记录列表的一部分来频繁地切换到不同的ip。targetHost目标IPeudvwwwrmyqi.in89.111.166.60美元eudvwwwrmyqi.in95.163.121.94jrhijuuwgopx.com网站176.31.62.78美元jugojruwhipx网站176.31.62.77美元norubjjpsvfg.ru210.1.226.15norubjjpsvfg.ru104.223.122.20norubjjpsvfg.ru104.223.15.16scpxsbsjjqje.ru公司5.178.64.90 scpxsbsjjqje.ru公司192.198.90.228scpxsbsjjqje.ru公司5.178.64.90wgwnmffclqvu.ru192.198.90.228wgwnmffclqvu.ru192.3.95.140浏览器中的远程线程资源管理器线程通过检查浏览器可执行文件的路径或加载的应用程序特定的DLL(例如,NSS3.DLL for火狐.exe). 如果找到目标浏览器进程,则在该进程中创建辅助线程。浏览器线程该线程负责从远程C&C服务器获取更新的Bot配置详细信息,如目标URL列表和字符串(BOTUID)。如果C&C服务器没有更新的目标url列表,那么它将使用存储在注入代码中的默认目标url列表。解密后的默认目标URL列表如下所示。默认目标URL列表收集的信息来自网络邮件、社交媒体和银行网站,存储在"日志数据"文件。日志文件路径C&C通信和加密:到C&C服务器的POST请求包含加密的系统信息,如系统卷和版本信息。加密例程是一个简单的字节"XOR",每次写入后密钥的"ROR"为8位。向DGA域发送一个示例Tinba POST请求下面显示了157字节的加密数据。过去一个月内我们阻止的C&C回叫尝试的C&C POST请求地域分布:我们看到了以下C&C服务器IP地址:103.1.149[.]36 104.223.122[.]20 104.223.15[.]16 104.223.15[.]234 104.255.97[.]136 104.255.97[.]15 162.218.89[.]118 176.31.62[.]77 176.31.62[.]78192.198.90[.]228 192.210.139[.]138 192.3.95[.]140 198.100.29[.]2 198.56.237[.]21 210.1.226[.]15 5.178.64[.]90 5.2.189[.]251 82.165.37[.]127 89.111.166[.]60 95.163.121[.]94结论:Tinba也称为小型银行特洛伊木马,继续在野外流行。到达方式从电子邮件垃圾邮件、驾车下载和最近的漏洞工具包感染周期都有所不同。Zscaler ThreatlabZ正在积极监控这个恶意软件家族,并确保覆盖我们的客户。Zscaler_媒体_中心2_博客_发布_1-R1