来自 防护 2021-04-06 01:09 的文章

防ddos产品_备案_ddos防御100g多少钱

防ddos产品_备案_ddos防御100g多少钱

自从垂钓者EK消失以来,漏洞工具包的活动是在很长一段时间以来的最低水平之一。因此,人们关注的焦点是中微子EK,它在某种程度上拾起了碎片,尽管速度要低得多。6月13日,@BelchSpeak发了一条微博,引起了我的注意,因为这和本地的iframes搜索安装的软件有关。这让我立刻想到了指纹技术,这是我们在本博客中多次描述的信息泄露漏洞。在使用漏洞工具包或恶意攻击活动的情况下,指纹识别的目的是通过检查不受欢迎的用户(研究人员、蜜罐等),避免不必要的关注,而不是向他们提供漏洞利用和恶意软件有效载荷。Neutrino EK以前曾使用过各种技巧来检查调试器和操作系统,现在似乎又在使用res://variant onload技术增加了另一层规避措施,据说微软已经在安全公告MS14-052中解决了这一问题。指纹证据用processmonitor回放中微子EK,可以确认安全性和虚拟化软件正在进行一些检查。如果返回的值为"未找到路径",则表示它要查找的软件未安装在该特定(默认)位置。例如,防御ddos攻击cdn,我们在下面看到中微子正在检查Fiddler的存在,5g防御能防止ddos吗,Fiddler是一种常用的web调试器,也可以是VMware和VirtualBox这两种流行的虚拟化软件。这意味着受害者很可能是真实的,因为他们没有在虚拟机中使用某些监视工具或测试漏洞工具包,因此他们很可能是后续攻击和感染阶段的候选对象。寻找源头这种特殊指纹的奇怪之处在于,中微子的登录页面因极其简单而臭名昭著,只用于启动Flash漏洞攻击,而没有其他EK在启动漏洞攻击之前通常运行的其他代码:似乎只有通过查看Flash漏洞才能找到一些线索。我们可以使用Sulo转储恶意SWF的更干净版本,get攻击怎么防御cc,它允许我们浏览ActionScript3代码并发现一个有趣的命名脚本,很可能是这个指纹的罪魁祸首:4个住宅rc4$9d60ea8c42cd5afde749de7143478f03135771611时间轴直到6月9日,中微子使用的恶意SWF或多或少都是这样的(注意res_js脚本的缺失):然而,在6月10日,新版本的Flash漏洞包含了它(原始网址:umwlyov.inconfirmeug.top/ministry/1896384/slide-弹跳附轴炸弹自己-怀抱.swf).静态SWF分析为了检查这个新的工件,我们可以使用jpex并提取与res_js相关联的二进制数据:二进制数据经过编码,需要用存储在SWF文件中的密钥进行RC4解密,然后最终将得到的字节解压为可读文本。快速浏览下面的(被截断的)代码会显示一个非常可疑的模糊信息,前面有一个uu flash_uutoxml。将JavaScript代码填充到Flash文件中并通过外部接口.call以前有记录。v变量实际上是一个数组,包含稍后通过res://调用用作iframe的指纹元素。["调试",云左的高防cdn,"maxParallelCheck","frameName","我的框架","名称","VirtualBox来宾添加","资源","回复://C:\\Program Files\\Oracle\\VirtualBox来宾添加\\DIFxAPI.dll/#24/123","类型","虚拟机",高防cdn多少钱,"VMware工具","回复://C:\\Program Files\\VMware\\VMware工具\\vmtoolshaked.dll/#24/2","小提琴手2","参考文献C://:\\程序文件(x86)\\Fiddler2\\uninst.exe/#24/1","工具","Wireshark","回复://C:\\程序文件(x86)\\Wireshark\\wireshark.exe/#24/1","FFDec","回复://C:\\程序文件(x86)\\FFDec\\卸载.exe/#24/1","ESET NOD32防病毒","回复://C:\\Program Files\\ESET\\ESET NOD32防病毒\\egui.exe/#24/1","av","Bitdefender 2016","回复://C:\\Program Files\\Bitdefender代理\\ProductAgentService.exe/#24/1","长度","[开始]检查过程…","检查软件:","获取时间","成功回调","failCallback","流行音乐","===检查元素:在iframe上:",",{已截断}]iframes和XMLDOM浏览器最终加载的是一系列iframe检查本地磁盘上安装的特定软件:中微子EK,为了保持其专注于闪电攻击和最小的登陆页面,可谓一举两得。恶意Flash使用CVE-2013-7331对系统进行指纹识别,然后在系统通过测试的情况下利用最近补丁的CVE-2016-4117闪存(Flash播放器最高可达21.0.0.213)。Neutrino浏览器仍在运行,我们可以看到一台正在运行的虚拟机正在运行:我们通知了微软安全响应中心(MSRC),并很快收到回复:"我们意识到了这个问题,目前正在努力寻求解决方案。"Malwarebytes Anti-Exploit在尝试检查Malwarebytes软件时,会将此信息泄漏错误/功能作为指纹事件检测并阻止。特别感谢@Ledtech3和微软边缘工程师@jonathansampson在解码SWF和JS代码的某些部分时所提供的帮助。进一步阅读Luis Rocha,中微子利用工具包分析和威胁指示器IOC公司6月9日的Flash漏洞原件:AD7873F7E241A51090D70B95CDC0C246884CB61C3A564BD1062848B7A860F25倾倒:68F10D5E1054002775B73967C28F1C043CD77F5552EE9ECD3C00F0727ADCB6F6月10日的Flash漏洞原件:6b9be2361f19070198b3bdc9372c8cb436ddc2d344ee77f10d27f597b68679a7倾倒:e716b1f5c5598d6d1bb89c7dcfa46017d0416b0da5b4c9c952b2ec5d383792c1Flash漏洞分析原件:8627d6ac05e868557a3ef796ae91c85648a3348f7a8428760e6771966d871fc9倾倒:a7c238b0c1984703aacea4582975104e3254b7d01b017bd4b07258d4b1ab0d40