来自 DDOS 2022-05-15 01:30 的文章

ddos高防_防cc攻击好用的cdn_无限

ddos高防_防cc攻击好用的cdn_无限

水坑攻击仍在继续(有点曲折)

通过与独立安全研究人员Eric Romang(@eromang)的合作,我们可以确认水坑活动仍在进行中,并针对多个目标,包括一个香港主要政党网站的例子。这个网站实际上是使用了新版本的原始Internet Explorer(CVE-2012-792)漏洞攻击,但现在它也在使用最新的Java(CVE-2013-0422)漏洞。

该网站的中文版正在进行远程javascript包含,以[修订版].org/board/data/m/m.js."

本网站是用于托管漏洞文件的合法受损网站,韩国托管。

此包含文件使用著名的"deployJava"函数,即"deployJava.js",并创建一个cookie"SomeThingeee",过期日期为一天。此cookie非常奇怪,而且在多年的漏洞攻击中也可能找到它,这表明这只是更大、长期操作的一部分。

如果使用Internet Explorer 8,则会从加载iframe[修订].org/board/data/m/mt.html"url。否则,如果检测到Oracle Java,安全狗能防御ddos,则将加载iframe"http://www.[redact].org/board/data/m/javamt.html"

对"mt.html"

"mt.html"的分析(d85e34827980b13c9244cbcab13b35ea)文件是一个模糊的Javascript文件,试图利用最新的Internet Explorer漏洞CVE-2012-4792,已在MS13-008中修复,由Microsoft周一上午提供。

(avast通过脚本屏蔽组件检测到该代码为JS:Bogidow-A[Expl])

与原始CFR和Capstone涡轮机版本相比,此代码不针对特定浏览器支持的语言,但代码基于CFR上使用的带有"男孩"和"女孩"模式的版本。

传统的"today.swf"已替换为"logo1229.swf"(da0287b9ebe79bee42685510ac94dc4f),"news.html"已替换为"DOITYOUR02.html"(cf394f4619db14d335dde12ca9657656),"robots.txt"已替换为"DOITYOUR01.txt"(a1f6e988cfaa4d7a910183570cde0dc0)。传统的滴管"xsainfo.jpg"现在嵌入到"mt.html"文件中,并在Javascript.

在通过剪切前13个字符,ddos攻击自动防御,将十六进制字符转换为二进制,并用0xBF对整个二进制blob进行xoring,可以从字符串中提取可执行文件。Sa256C5D5D5F9159943F4F884F8F07ED2D10FD6E544 F30A3535AD2的结果文件是新世界电信在香港托管的域通信的RAT。分析"JavaMt.html"java"JavaMt.html"(B32 BF36160C7A3cc5BC765672F7D6F2C)正在检查Oracle java 7是否存在,如果是最新java java漏洞,CVE-2013-0422,将通过"AppletHigh.jar"(521eab796271254793280746dbfd9951)执行。如果存在Oracle Java 6,"AppletLow.jar"(2062203f0ecdaf60df34b5bdfd8eacdc)将利用CVE-2011-3544。这两个小程序都包含上面提到的非常相同的二进制文件(未加密)。

作为你看,"水坑"活动仍在继续,ddos攻击防御权衡,但在形式上有所发展,但也使用了最新的Oracle Java漏洞。虽然Avast确实检测到所有组件(disitribution站点的URL被阻止,RAT c&c的URL被阻止,二进制文件被检测,ddos攻击怎样防御,漏洞文件被检测),但只有一个通用建议:补丁,补丁,弹性cdn高防,补丁。。。