来自 CC防护 2021-05-03 00:12 的文章

ddos防护_服务器高防怎么攻击_无缝切换

ddos防护_服务器高防怎么攻击_无缝切换

核(逆向)工程的最新进展 介绍虽然钓鱼者仍然是主要的漏洞利用工具包,核是一个重大的威胁,对网络冲浪者和似乎已经非常活跃的最近。最近,威胁实验室遭遇了一场来自各种受损场地的核活动。这些妥协延续了WordPress网站提供恶意代码的趋势,在这个案例中还包括了一家英国医疗机构的网络存在。 最近的核登陆页面示例 这个活动的执行流程是典型的:受感染的站点包含一个嵌入的iframe,用于加载漏洞工具包登录页。登录页检查浏览器系列和版本,并测试可用的Flash版本,然后选择几个漏洞利用有效负载之一。从这里,可以下载多个可能的有效负载,特别是Fareit Infostealer特洛伊木马和Troldesh勒索软件特洛伊木马。 核着陆如前所述,WordPress仍然是漏洞工具包最有效的流量来源之一。不过,如果我们看到的是隐藏在页面底部的一个重要组成部分,那就是我们所看到的。  恶意iframe前面有大量空行iframe加载登录页面,该页面具有模糊的JavaScript和随机外观的文本块。事实证明,一些随机出现的文本块实际上是模糊化的组件,JavaScript最终会对其进行除臭和执行。 第7行和第9行覆盖了对HTML块进行解码的脚本调用 核开发有效载荷我们评估的登录页导致了两个可能的Flash漏洞攻击以及一个internetexplorer漏洞攻击。具体来说,我们看到了针对Flash的CVE-2015-5122和CVE-2015-5560漏洞攻击,20g每秒ddos防御,以及针对IE的高度混淆的CVE-2014-6332漏洞利用。 第一个Flash有效负载阶段检查Flash Player版本并准备适当的攻击正如卡芬所指出的,核能已经集成了同样的Diffie-Hellman钓鱼者首次首创,只是现在它在Flash中实现了保护CVE-2015-5560的有效载荷。此活动还提供了一个带有修改常量的XTEA函数。 Diffie-Hellman密钥交换实现用于保护新的Flash负载除了让逆向工程师的日子过得更艰难之外,作者们还决定对那些分析他们代码的人进行一些友好的宣传。在具有特色的Flash有效载荷的情况下,字符串"fuckAV"被用作特殊常量。 当"fuckAV"作为参数提供时,此函数返回一个异或键核沉降物一旦浏览器被利用,Nuclear将首先释放Fareit有效载荷。Fareit是一家信息窃取者,服务器防御ddos有几种,正如下面的字符串所示,它正在寻找窃取多个应用程序和网站的用户凭证以及比特币钱包信息。 Fareit检查用户凭据的文件和路径示例在窃取用户信息的同时,Fareit试图通过在一批HTTP请求中向外观无害的网站发送签入请求来隐藏其命令和控制通信。 在检查连接后MSN.com网站,执行多个帖子除了Fareit的有效载荷外,还发现了Troldesh勒索软件的有效载荷。Troldesh是勒索软件家族中的另一个,他们加密用户文件并试图提取赎金以换取解密密钥。此活动正在使用电子邮件地址文件100005(at)gmail.com网站和文件100006(at)gmail.com网站还有Tor地址a4yhexpmth2ldj3v.onion。 Troldesh捆绑了一个torproxy来保护它的通信 尽管他们可能更喜欢感染非分析师的机器,ddos攻击防御防火墙,但Troldesh的作者确实借此机会向他们的逆向工程师朋友致意。这一信息没有核快闪有效载荷中的问候语那么咄咄逼人。 谢谢,局域网内有ddos攻击防御,但我不喝咖啡! 结论虽然Nuclear可能不是定期发布最新进展的开发工具包,但作者肯定会努力跟上新的漏洞利用和新的混淆技术。威胁实验室将继续监测核能(以及法瑞特和特罗德什)的任何新进展或问候。 附录:指标: 最近的登录页IP地址最近的登录页主机名最近受损的站点和重定向程序 Zscaler_媒体_中心2_博客_发布_1-R1

,ddos防御盾