来自 网络 2021-05-03 10:17 的文章

cc防护_ip高防_零元试用

cc防护_ip高防_零元试用

野外闪存漏洞分析-第2部分在第一个博客中,我们讨论了最近的一个Flash漏洞是如何使用堆喷涂的。在这个博客中,我们将看到外壳代码是如何工作的,以及它如何将恶意二进制文件下载到受感染的系统中。如果您还记得,恶意外壳代码是由该漏洞攻击加载到堆上的。所以让我们来看看我们是否可以在加载的外壳代码中识别字符串或url。如果仔细观察,外壳代码不是可读格式,似乎是编码的。下面是外壳代码的外观:外壳代码中没有单个可识别的字符串。如果这段代码没有编码,宝塔一键安装cc防御系统,让我们进一步理解。当我们在上一个博客中停下来时,我们看到的是一个"calleax"指令,EAX指向08080808。如果按F9键,ddos怎么知道自己防御了多少钱,我们将到达堆并开始执行每个NOP指令,直到最终到达恶意外壳代码。我们将通过在外壳代码中放置一个硬件断点来到达外壳代码的第一条指令。这是调试器的另一个屏幕截图:外壳代码包含一些未使用的指令,仅仅使用静态分析很难理解它。让我们一步一步地开始调试。前几个指令是相同的,将从堆栈弹出EAX。然后是对08089C42的短跳转调用,它将调用地址08089C32。此时,它将异或ECX值并将值3B8(十进制952)推入CX。还有一个很有趣的小循环。08089C3A 80340B BD XOR BYTE PTR DS:[EBX+ECX],0BD 08089C3E^E2 FA loop SHORT 08089C3A第一条指令从最后一个字节开始用0BD对每个字节执行异或运算,ddos防御费用,即从值开始(EBX+ECX),直到当前EBX值作为ECX开始递减。这是用于对原始外壳代码进行编码的方法。退出循环后,我们进入解码的外壳代码,现在可以查看它了。这是原始外壳代码Gr8的XOR'ed版本!现在每一条指令都是可读的,高防cdn动态,而且容易理解。我们现在可以尝试识别字符串。我进入堆的内存转储并将指令转换为十六进制/ASCII格式。在这里,我能够找到一些已知的字符串和一个URL结尾。下面是ASCII转储:现在,这看起来很简单。以上解码的外壳代码将下载"css.exe文件"对被感染的系统。此时,我下载了恶意文件。让我们在OllyDbg中打开它,并尝试找到一些额外的字符串,看看这个可执行文件在做什么。我很快地查看了反汇编,并能够很快地意识到文件在做什么。访问此可执行文件中发现的附加恶意代码下载hxxp://www.ffxiname.com". 然后它将添加一些注册表值并运行库"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\30005625037唐.dll,Set1"使用"C:\WINNT\System32\rundll32.exe"。临时目录将充满其他恶意的可执行文件和DLL。有问题的网站("ffxiname.com网站)似乎是一个drop区域,包含许多其他漏洞。该站点将根据发出请求的浏览器提供不同的漏洞利用。以下是从该网站截获的一些wireshark数据包:该网站正在利用浏览器特定的漏洞来推送其他恶意软件。这个过程还没有结束。它也可以下载,hxxp://www.40sys40.cn/txt/a1.exehxxp://www.40sys40.cn/txt/a2.exehxxp://www.40sys40.cn/txt/a3.exehxxp://www.40sys40.cn/txt/a4.exe另外,两个DLL被下载到temp文件夹中。文件名是"231053口.dll"和"231054夏娃.dll". 根据DLL中标识的字符串,它们似乎被用于嗅探各种web域的密码,如下面的屏幕截图所示:可以看到,ddos的防御带宽,由于Flash漏洞而导致的初始感染只是该过程的开始。成功利用此漏洞会导致其他恶意二进制文件下载到受感染的系统中。该漏洞还导致安装恶意DLL,当您访问流行网站时,这些DLL会窃取登录凭据等有价值的信息。这就是这个系列。请记住,这一感染链是由带有易受攻击的Flash播放器的受害者浏览单个恶意页面时触发的,无需用户干预。这也显示了Flash漏洞在野外的活跃程度。使您的系统/AV保持最新,并从Adobe安装最新的Flash播放器。安全点,乌梅什Zscaler_媒体_中心2_博客_发布_1-R1