来自 数据 2021-05-03 07:08 的文章

云盾_防三高_原理

云盾_防三高_原理

假防病毒网站使用的严重混淆就在几天前,我发表了一篇帖子,ddos流量攻击防御成本,讨论2011年假杀毒网站的流行。正如我在博客中提到的,攻击者不断地创建新的域名和网站来推广他们的假软件,使用各种混淆技术来隐藏他们的代码,以防被ID、IP、防病毒等检测到。此后,我们遇到了许多托管在同一IP地址上的恶意网站。网站的主要页面被严重混淆。模糊JavaScript的结构始终保持不变,运营商防ddos防御方法,但所有变量都是随机的。这可能意味着攻击者已经创建或正在使用工具来处理代码混淆。以下是来自两个不同网站的JavaScript代码截图:查看上面的图片,您可以看到代码结构保持不变,只有变量名是随机的。甚至页面的源代码也只包含一个body标记和恶意JavaScript。当这个页面加载时,ddos攻击种类如何防御,它开始创建动画来传递安全警告来吓唬受害者。这里有一个例子:正如我在前面的博客文章中提到的,这些都是假安全,试图强迫受害者下载假防病毒软件,服务器防御CC软件,这些软件将下载更多的恶意软件到系统中。执行这些动画和启动恶意二进制文件下载的代码隐藏在恶意脚本中。让我们解码主脚本。恶意JavaScript代码定义了两个函数和三行代码来解码内容。它们是这样的:变量"euqbvulz"在第一次迭代中传递给解码函数"ikcmfynlzk()"。解码后的内容存储在一个名为"wfuaydtmd"的变量中。"wfuaydtmd"变量在第二次迭代中再次传递给第二个名为"fiyctdv()"的函数,家庭防御ddos,其中包含文档.写入()"函数调用。所以代码要经过两次解码迭代。让我们用Malzilla来解码这个代码。Malzilla成功地解码了内容。但是解码结果包含另外三个严重混淆的JavaScript片段和一些HTML代码。让我们逐一解码。这里是第一个:第一个恶意的JavaScript代码段解码为HTML"title"标签,该标签将显示为网页的标题,声称它是合法的Windows安全网站。剩余的HTML脚本隐藏在这个动画中,意味着显示恶意代码。下面是第二个:上面的脚本代码将加载带有消息"初始化病毒防护系统…"的动画图像。这里是第三个:如果你看上面的图片,你会注意到一些与安全性相关的字符串,这表明这个JavaScript代码实际上加载了动画。第一个变量声明为"strategy",因此攻击者使用的策略是用CSS格式的JavaScript代码加载变量。下面是CSS代码的一些截图:因此,显示安全警告和消息的代码被攻击者多次混淆。您会注意到攻击者使用的字符串显示在前几个图像中提到的警告图像中。由于使用了大量的混淆,合法防病毒供应商在扫描此HTML文件时的检测率仍然非常低。乌梅什Zscaler_媒体_中心2_博客_发布_1-R1