来自 安全 2022-05-17 06:10 的文章

阿里云高防ip_高防ddos怎么打_快速解决

阿里云高防ip_高防ddos怎么打_快速解决

Flash恶意软件,香港服务器防御DDoS,可能适合Twitter消息

在分析恶意软件时,您最有可能遇到使用各种模糊处理的样本,以便对保护您计算机的防病毒软件进行隐藏。用flash编写的恶意软件(更具体地说,是ActionScript)也是如此。Flash现在在恶意软件作者中非常流行,cc防御系统,因为很多人每天都在使用它。有时,ddos防御品牌,他们甚至不知道是flash运行了他们屏幕上发生的所有新奇的东西!最近,我遇到了一个样本,它使用了一个非常好的技巧来隐藏它的目的,不让任何人看到它的引擎盖下面。更有趣的是,这个示例实际上小于140字节,这意味着它可以放在Twitter消息中!这对于flash文件来说是很不寻常的,因为flash文件往往要大得多。但别担心,这不是恶意软件以二进制形式通过Twitter传播的案例。可能是通过恶意链接,但这是另一回事。

所以除了小文件大小之外,这个示例还有什么有趣的地方?由于它非常小,让我们看看它的hexdump:

这里没有什么不寻常的地方,因为我们正在查看一个压缩的闪存文件(请参阅开头的"CWS"标题)。好的,让我们把它拆开,再看一遍:

现在这个好多了。我们可以看到未压缩的头文件("SWF"),文件末尾有一些纯文本字符串,特别是"/:$version"和"\u root"。乍一看,这看起来不是很可疑,但还有更多。为了更好地了解文件中的内容,我使用了一些奇特的工具来运行这个示例。您可能不熟悉flash文件的结构,所以让我解释一下。每个flash文件都包含一个必需的头文件(以"SWF"或"CWS"开头)。此标题存储有关flash电影的一些信息,如版本、大小等。然后是一系列所谓的"标签"。标签是一个数据块,以包含ID(一个唯一的数字,告诉flash player这是什么类型的标签,因为有许多不同的标签)和标签长度的标题开始。其中一个已定义的标记是"End"标记,它告诉flash播放器,在这个标记之后,没有更多的标记(因此文件结束,或者至少应该结束;)。通过这个简短的教程,我们可以看看这个特定示例中的标记:

正如您所看到的,第一个标记报告为"未知"。由于向后兼容,flash只跳过任何它无法识别的标签,所以我们也可以跳过这个标签。在剩下的标签中,我们唯一感兴趣的是DoAction标签和ShowFrame标签。ShowFrame很重要,因为它实际上让Flash Player执行之前定义的所有动作(简化了一点)。DoAction标签是所有魔法发生的地方。这个标签包含ActionScript代码,它可以做各种各样的事情,从简单的益智游戏到视频播放器。因为没有其他地方可以查找恶意代码,免流专用ddos防御脚本,所以让我们试试运气,深入挖掘这个特定的标记。快速拆卸会发现一些有趣的东西:

哦,那是什么?我们可以马上看出这段代码有点可疑。首先,有许多指令是未知的。更好的是,我们看到了ActionPush指令,它用于将数据推送到ActionScript虚拟机堆栈上。在本例中,它从所谓的"常量池"推送数据,这只是字符串数组的一个花哨名称。但是这个数组是在哪里定义的呢?ActionConstantPool指令用于定义此数组,但它不在上面的代码中!这是否意味着该代码将不起作用?当然不是。为了揭示它的秘密,我们必须回顾一下。在标签列表中,我们看到DoAction标签应该是103字节长,但指令列表中最大的偏移量只有47!文件中该位置的字节序列是FC FF 88,它"转换"为代码FC(未定义)和长度0x88FF的动作。由于文件只有131字节长,这显然是胡说八道。但是别担心,让我们稍微修补一下文件,以消除这个障碍,看看会发生什么:

现在这很有趣!一个ActionConstantPool坐在我们刚刚移除的"障碍"后面!实际上还有另一个提示,一些有用的数据将位于标记的末尾-所有指令中的第一条是ActionJump,它在代码中按给定的偏移量跳转。本例中的偏移量为0x2C,因此新地址将为0x31(因为跳转操作的长度为5字节,我们也需要添加这些字节)。所有这些技巧都是为了击败反汇编程序或任何类型的静态分析。那么样本是做什么的呢?当代码运行时,它所做的第一件事就是向前跳转到常量池定义,然后向后跳转一点,就在偏移量0x0A处,ActionPush所在的位置。记得我们之前说过这个动作是无效的,因为没有常量池吗?这不再是事实,ddos防御云,所以一切都很好,代码还在继续。现在获取结果代码非常简单,它将是这样的:

示例只需检查flash player的版本并打开相应的flash电影,其中可以包含在特定版本的flash player中工作的漏洞。所以它实际上是一个下载器,它打开了你电脑的大门,让坏东西进来。所有这些都只需要130多字节的闪存。