来自 网络 2021-05-03 07:09 的文章

cdn防护_高防攻击服务器_超高防御

cdn防护_高防攻击服务器_超高防御

分析PDF漏洞攻击以查找使用的有效负载我们以前写过几篇博客,重点是深入分析PDF漏洞,因为这是攻击者用来打包恶意代码和避免防病毒检测的另一种技术。我们过去也写过不同的解码过滤器,用来隐藏PDF文件中的恶意代码。在本博客中,我们将研究另一个在野生PDF漏洞,它隐藏了它的恶意代码在不同的对象。我们还将确定用于实施攻击的最终有效载荷。恶意PDF样本是从hxxp://sj1s.co.cc/games/pdf.php?f=21英寸。以下是PDF源代码:   上面的PDF文件很小,包含纯文本JavaScript。让我们看看对象1,它包含恶意JavaScript代码。这段代码非常容易阅读和理解。JavaScript访问其他地方声明的一些属性值,例如"这位是制作人", "本主题"等等。现在,那些申报的价值从哪里来?如果您查看对象3,您会注意到所有其他变量都是从这些对象属性访问的。使用的字符串如"eval"和"StringfromCharCode"表明此JavaScript用于恶意目的。现在,我们有3个与object3不同的字符串,它们将用于恶意JavaScript代码。1) 属性生成器包含一个很长的值数组2) 属性主题包含字符串"eval"3) 属性标题包含字符串"StringfromCharCode"我们将使用Malzilla来解码这个恶意的JavaScript。为此,我们需要将相应的值替换为变量。我们将使用这些值为Malzilla重新创建JavaScript代码,就像解码过程一样。我们需要仔细查看代码,因为数组包含一些替换和算术运算。以下是我们需要替代的:     让我们从Producer属性数组中获取第一个值,即"t9.5*w"。恶意JavaScript包含一个变量"w",用值4声明,然后还有另一个函数(axp=axp.更换\(/t/g,'2'\);),它将用值2替换字符"t"。所以数组的第一个整数将变成(29.5*4)=118。当我们用"t"和"w"值替换整个数组时,我们可以创建最终的简单JavaScript代码:   现在我们将使用Malzilla对上述简化代码进行解码。解码内容如下:   解码后的内容包含恶意堆喷射代码、外壳代码和用于攻击不同Adobe漏洞的代码。然而,我们还必须确定一旦恶意代码利用该漏洞会做什么?它使用什么有效载荷来进行攻击?为此,ddos攻击防御硬件,我们需要确定使用的外壳代码。外壳代码如下:   使用的外壳代码采用%u Unicode编码格式。我们将此代码转换为字节码或可执行代码,DDOS防御能力,以便使用IDA pro或OllyDbg进一步反转。为此,我们将使用最喜欢的在线工具Shellcode 2 EXE。我们将复制并粘贴变量中的外壳代码字节,这将生成一个示例".exe"文件进行分析。以下是截图:   现在,安全游戏,我们要分析可执行文件。所以让我们先在IDA-pro中打开,看看有效负载中使用的字符串。这是找到的绳子,   字符串显示这个有效负载将在系统上下载其他文件。现在让我们在OllyDbg中打开这个文件,以获取负载中使用的恶意URL。   外壳代码以NOP指令开头,然后是另一个将解码恶意代码的循环。请看上面突出显示的方框内的说明。这些是用来解码一切的指令。通过单步执行代码,我们知道有一条指令将该值与E9进行比较以退出,什么盾防御cc好,而另一条指令则将值为31的XORing byte进行比较。我们将在RETN指令处设置断点。代码将成功运行,ddos产品可防御,我们将看到解码的内容,其中包含更有趣的字符串。   查看上面在转储区域中突出显示的字符串。此URL将用于从服务器下载另一个二进制文件。现在,我们已经识别出这个恶意负载和使用的URL。作为参考,下面是来自ThreatExpert的相同外壳代码的结果。 就这样吧。 乌梅什Zscaler_媒体_中心2_博客_发布_1-R1