来自 DDOS 2022-05-15 17:00 的文章

网站安全防护_烈火神盾游戏_精准

网站安全防护_烈火神盾游戏_精准

MSIE 0day-继续(还有一点Flash)

当我们研究目前为新的Microsoft Internet Explorer(IE)零日威胁服务的网站时,我们发现新的攻击是基于一个稍旧的攻击,目标是工业公司的网站

被黑客攻击的合法网站主页上有一个隐藏的iframe。

July.html页面包含加载flash文件的代码,其中包含Matrix3D对象中的一个全新漏洞,允许在访问者的系统上无声地利用和执行嵌入式二进制文件。据我们所知,该漏洞未分配CVE代码,也未报告存在于野外。虽然它在Adobe的APSB12-19中已被修复(静默),但大约40%的人,我们的先锋!用户仍然安装了易受攻击的11.3.x版本。更不用说还有40%的版本更旧。Adobe于8月21日发布了该修复程序,8月24日,我们开始收到关于该漏洞的社区IQ报告,这使我们认为攻击者需要三天的时间来分解该补丁程序并从中创建漏洞。我们还提到了8月4日的概念代码证明,其中描述了相同的漏洞。

闪存文件中隐藏的可执行文件都是RAT–远程访问工具。其中一个是PlugX,其他的可能是老版本的毒藤。这些攻击将访问者的计算机打开给攻击者,攻击者可以自由地做任何他们想做的事情——窃取数据、密码等。他们都在联系远程服务器,这些服务器托管在美国/英国廉价的托管服务上,并使用免费的匿名域(只有一个注册为cdn防御怎么样的域名除外)。

但是,随着新漏洞的出现,我们在一个这样的网站上看到了变化。提到的站点使用了几个Javascript库,包括Thickbox.js。Diff utility向我们展示了文件末尾的可疑之处:

July.swf–flash Matrix3d漏洞–avast!检测一般性和特定的漏洞,我们还使用全新的JAVA漏洞CVE-2012-4681–avast检测有效负载

applet.jar!检测带有新MSIE漏洞的漏洞

loading.html–avast!检测漏洞

通过这三种漏洞的结合,攻击者已经覆盖了很多用户,因为很有可能至少有一种漏洞会在用户的计算机上被解锁。

在被黑客攻击的网站中有大型工业公司的名称。由于他们的网站通常不为公众所访问,而主要为其他商人所访问,我们可以推测可能与硝基团伙有关,它使用隐藏的老鼠工具向这些企业发送有针对性的电子邮件,以便从目标中提取数据——因此,工业间谍是攻击者的可疑动机。

以下是我们看到的使用所述漏洞的网站概览:

昨天,我们试着联系列表中的公司。到目前为止,他们中只有一人回复并删除了威胁,ddos攻击原理和防御书,两人在没有回复的情况下删除了威胁,还有两人仍在为恶意软件服务。我们还要求这些公司就黑客行为进行进一步合作,以评估下载被利用的文件和其他有趣信息的人数。虽然我们有点怀疑,cc防御攻略,局域网ddos防御代码,但我们会向您发布更多信息。

重复不会伤害任何东西,所以:avast!保护您免受这种威胁。如上所示,哪里有免费高防cdn,我们提供了多层检测。但是,尽快更新到最新版本总是明智的,如果可能的话,放弃那些会带来更大风险的东西。

PS:我写道有两个网站消除了威胁,便宜的高防cdn,但这只是部分正确。也许他们真的感染了,又被感染了,或者他们没有感染。。。被再次感染,但上述Thickbox.js第二次得到更新,这一次只使用IE漏洞代码:

如果没有全面调查和网站管理员关闭所有漏洞,坏人仍然有机会在此类网站上做任何他们想做的事。