来自 数据 2021-05-03 02:08 的文章

ddos防御工具_服务器安全防护论文_快速解决

ddos防御工具_服务器安全防护论文_快速解决

核开发工具包和闪存CVE-2014-0515在本博客中,我们将带您了解我们分析过的最近一次涉及核利用工具包(EK)的攻击。人们发现它利用了2014年4月发现的adobeflashplayer中的一个缓冲区溢出,即CVE-2014-0515。核攻击工具包针对许多已知漏洞,包括:pdf-PDF:Exploit.PDF-JS swf-CVE-2014-0515 jar-CVE-2012-0507下面是在观察到的攻击尝试期间下载的文件:文件类型MD5 SIZE CVE/THREAT VT HITS FLASH A1465ECE32FA3106AA88FD666EBF8C78 5614CVE-2014-0515 18/53罐A93F603A95282B80D8AFD3F23C4D4889 12396 CVE-2012-0507 26/54 PDF 19ED55EF17A49451D8052D0B51C66239 9770漏洞利用.PDF-JS 22/54 EXE 8BCE8A59F9E789BEFB9D178C9A03FB66 104960 Win32/Zemot 39/53,尽管还有其他相关的漏洞由于受到核子攻击工具包的攻击,我们将限制这篇博文来回顾Flash漏洞利用(CVE-2014-0515)。与RIG等其他EK不同,cc防御设,Nuclear EK的登陆页面代码高度模糊。(图1:模糊化登录页)反模糊处理后,页面如下所示:(图2:去模糊化登录页)Nuclear EK的登录页检查以下防病毒(AV)驱动程序文件,如果找到,京东如何防御ddos,则终止利用进程。我们以前在RIG EK也见过这些支票。(图3:检查AV驱动程序文件)如果AV检查通过,个人电脑ddos攻击防御,javascript函数将检查已安装的Flash版本,如果在客户端浏览器上检测到易受攻击的版本,则会调用动态Flash对象创建模块。(图4:Flash Call)下面是易受攻击的Flash player检查:(图5:检查是否安装了易受攻击的版本)如果版本检查通过,闪存开发过程将如图所示开始低于.CVE-2014-0515漏洞分析此处是动态创建新闪存对象的代码:(图6:闪存对象创建)下载的闪存漏洞有效负载高度模糊,以逃避AV检测。下面是这个Flash漏洞的反编译代码片段:(图7:反编译的Flash文件)在运行时进行反模糊处理后,在操作脚本中有两个硬编码的模糊外壳代码片段,如下所示:(图x1,x2:原始外壳代码),它从一个去模糊化的shell代码片段向着色器对象添加字节码。(图8:着色器字节码填充器)着色器的像素弯曲器是写入错误字节代码的地方,这会触发该漏洞。以下是错误的字节码:(图9:像素着色器的错误数据)分解PixelBender的字节码我们使用Tinc Uro的程序来反编译PixelBender的二进制数据。(图10:反编译的PixelBender数据)我们可以在这里看到不适当的内容。着色器对象接受一个float参数,该参数的默认值设置为4x4个浮点的矩阵,该矩阵的第二个浮点值是无效值,会触发该漏洞。结论自从流行的黑洞攻击工具被击落后,ddos攻击与防御技术目的,我们看到了许多新的攻击工具的出现。核开发工具包绝对是目前野生环境中最流行的5种EK之一。在过去的三个月里,我们已经看到越来越多的被破坏的网站和诈骗页面导致了核攻击工具包。在这段时间内,一些被重新定向到Nuclear EK的著名受损站点包括:SocialBlade.com网站-youtube统计跟踪网站。AskMen.com网站-男士娱乐网站脸谱网调查了Flash-11.0和Flash-11.0之前版本的Flash-11.0和Flash-13.0版本之前的漏洞。在Flash-11.0和Flash-13.0之前的版本中,路由器有ddos防御,有一个漏洞被广泛使用,以及Linux上11.2.202.356之前的版本。确保您的员工没有运行过时的Flash版本是非常重要的,因为它通常是针对EKs.参考文献:   üUS/FlashPlatform/reference/actionscript/3/http://www.semantiscope.com/research/BHDC2010/BHDC-2010-Paper.pdf http://www.free-decompiler.com/flash/download.html阿扎德鲁宾Zscaler_媒体_中心2_博客_发布_1-R1