来自 网络 2021-05-03 10:01 的文章

cc防护_网站防ddos_快速接入

cc防护_网站防ddos_快速接入

在野生的PDF利用结合使用"AsciiExDecode"和"ASCII85Decode"过滤器进行攻击在过去的几个月里,我们看到了许多关于PDF漏洞利用的博客,这些漏洞与"asciihextodecode"、"FlateDecode"等过滤器有关,被用来避免防病毒检测。攻击者所采用的思想是利用不同的过滤技术来隐藏恶意数据,使其难以理解和解码。我们遇到过许多使用"[/FlateDecode/ASCIIHexDecode]"或"[/FlateDecode/ASCII85Decode]"筛选器的PDF漏洞。正如gnupdf所定义的,"asciihextodecode过滤器对以ASCII十六进制形式编码的数据进行解码"和"ASCII85Decode过滤器对以ASCII base-85编码编码的数据进行解码并生成二进制数据"。有趣的是,我们发现了另一个例子,Zscaler阻塞了,阿里云防御ddos攻击吗,在同一个PDF中,两个过滤器都被用于不同的对象。此技术可用于在PDF中隐藏恶意代码。以下示例仍在web上实时显示。让我们在记事本中打开它,搜索"asciihextodec"或"ASCII85Decode"过滤器,看看是否使用了它们。这是"asciiExDecode"过滤器所在的屏幕截图如果你看上面的图片,有可疑的东西,一个不可读的代码块在18对象的长度为19343。PDF不是空白的,包含4页文本。恶意代码被注入到PDF的底部以避免被发现。让我们解码它看看它是否包含恶意的JavaScript。工具"pdf-分析器.py"from PDF工具支持这两种过滤器,并且可以轻松解码其中的代码。上面的脚本现在被解码了。上面的恶意脚本正在使用特殊字符,如@、?, !,wayosddos防御,$等,用于替换其中一个变量。如果我们从变量中删除这些字符,您将看到明文恶意JavaScript代码。看看上面的JavaScript代码,它不包含任何替换或删除这些字符的功能。如果没有这样的功能,代码将是不完整的。因此,我们需要在PDF文件的其他地方寻找其他功能。我们后来发现了另一个名为"ASCII85Decode"的过滤器,其中包括一些额外的可疑代码。这里是:让我们用"pdf"进一步解码-分析器.py"工具。下面的命令用于解码此特定对象。D: \pdf文件-分析器.py--object=20——原始——过滤器搜索.pdf>输出2.log这是这个过滤器的解码脚本,waf防火墙能防御cc吗,ddos流量防御,就这样。它确实包含了额外的恶意JavaScript。这是一个有趣的例子,脚本被分成两部分,使用不同的过滤器编码,山石防火墙防御内网ddos,并在两个不同的对象中使用。攻击者故意这样做是为了愚弄防病毒引擎并避免被检测到。让我们解码这个脚本,看看它是哪个PDF漏洞目标以上恶意JavaScript针对3个老漏洞,collectEmailInfo()–CVE-2007-5659协作.getIcon()–CVE-2009-0927.printf()–CVE-2008-2992上面的例子表明,攻击者使用不同的技术来避免使用不同的过滤机制进行防病毒检测。此外,攻击者现在将脚本分成多个部分,用不同的过滤技术对它们进行编码,并将它们放入不同的对象中。使用这种方法增加了解码/检测的复杂性。使用这些过滤技术,web上有许多实时PDF漏洞攻击。上述示例的检测率非常低。42家杀毒软件供应商中只有13家检测到这个样本。病毒总数的结果显示,一些流行的杀毒软件供应商仍然没有检测到。这也表明你不能依赖单一的保护机制,比如只在系统上安装防病毒引擎。为了提供一种深入的安全防御方法,需要结合防病毒、IDS/IPS、URL过滤/分类等。与传统的服务器端攻击相比,这样的客户端攻击有所增加。攻击者不仅针对流行的应用程序,如PDF、Flash等,而且还使用各种技术来传递恶意代码。就这样吧。是安全的。乌梅什Zscaler_媒体_中心2_博客_发布_1-R1