来自 数据 2021-04-07 12:00 的文章

ddos高防ip_无限防_香港高防服务

ddos高防ip_无限防_香港高防服务

在调查流量捕获时,我们时不时会遇到新的URL模式。在某些情况下,ddos攻击防御软件,它们是现有重定向器或漏洞工具包的变体,它们与安全研究人员玩猫捉老鼠的游戏,而另一些时候,它们则是新威胁的迹象。但是,是什么造就了某种"新事物",你又如何确定它确实是真正新奇的东西呢?除非您从第一天就跟踪了驾车/漏洞工具包场景,或者能够将其映射到最细微的细节,否则这不是一件容易的事。这有几个原因。首先,这片土地辽阔,千变万化,带来了大量需要进行剖析和分类的信息。其次,我们看到的大部分是坏人向我们展示的东西,这基本上意味着客户端流量。后端结构如何,这个生态系统中的实际参与者呢?谢天谢地,我们确实有机会看到它,多亏了像@kafeine这样敬业的研究人员的不懈努力。但有时,仍有一些事情是不清楚的,或可能混淆我们中的一些人(包括本文作者)。当一个安全研究人员偶然发现一些他不认识的东西时,他经常称之为"未知",因为缺乏给它一个正确名称所需的信息。这篇文章将深入挖掘这样一个已经流传了一段时间的案例,最终可能会有机会有足够的曝光率来分类。"未知"漏洞工具包几周前,我们发现了一种新的交通模式(对我们来说是新的),它首先引起了我们的注意,原因如下:有效负载的大小与捕获的任何URL的大小都不匹配URL模式是新的在深入了解漏洞工具包本身之前,让我们先看看我们是如何做到这一点的。重定向链原始流量:交通亮点:hxxp://flyclick.biz/click?app=app8&click=c7d3c12b-1e98-4cde-b4a1-36b9e8acd624&search=7c9ec1c9-b3ac-4a88-a99f-c95bb7c07d02&feed=18418找到HTTP/1.1 302服务器:nginx日期:2014年8月20日星期三格林尼治标准时间11:19:58连接:保持活动状态地点:内容长度:0hxxp://chokoboko.com/reject///文档.写入("http://flyclick.biz/click?app=app20&click=d4467442-220a-4890-9157-57bddb24bcbd&search=765b6198-a556-4367-9633-8adb52afcf8e&feed=18398");hxxp://flyclick.biz/click?app=app20&click=d4467442-220a-4890-9157-57bddb24bcbd&search=765b6198-a556-4367-9633-8adb52afcf8e&feed=18398找到HTTP/1.1 302服务器:nginx日期:2014年8月20日星期三格林尼治标准时间11:20:01连接:保持活动状态地点:内容长度:0hxxp://color-finance.com/preview.phphxxp://46.229.172.100/?连接=beba101f-36a6-4598-71f9-0e61e3554507&pid=1356HTTP/1.1 303见其他内容类型:文本/纯文本地点:?id=pyTaT8AKcaTIksmgJNHIS0ScSv6TIH81L5CTvXcE2_XQKhh-xjI5zlT-Ug3DP_f7lkvfhulqp0w8juws3moiknax-LVRn2iw_ejzP98UJc%2C日期:2014年8月20日星期三格林尼治标准时间19:22:09内容长度:173hxxp://109.206.160.239/click.php?id=pyTaT8AKcaTIksmgJNHIS0ScSv6TIH81L5CTvXcE2_XQKhh-xjI5zlT-Ug3DP_f7lkvfhulqp0w8juws3moiknax-LVRn2iw_ejzP98UJc%2CHTTP/1.1 302已临时移动服务器:nginx日期:2014年8月20日星期三格林尼治标准时间09:15:53内容类型:text/html;字符集=utf-8连接:保持活动状态设置Cookie:目标=31102%7Ccolor-finance.com%7CGBR%7cbluelaks%7C66734%7Csanyo+故障排除;expires=2014年8月21日星期四11:20:38 GMT;路径=/;域=。bizzclick.com网站地点:?赛义德=do1okr03df315a内容长度:0hxxp://www.inpoucher.com/video2014/index.php?赛义德=do1okr03df315a最后一个web会话将指向未知漏洞工具包的登录页。登录页:hxxp://www.pizzanetp.com/nhqdxa/eipm.php该IP地址(76.74.157.161)上的域:网站网站网站网站网站以下是VirusTotal关于IP地址的一些附加信息:最早记录的事件pizzanetp.com网站域:其他两个域的早期记录:与先前研究的联系:URL和IP的结构与@MalwareSigs先前在IP 72.51.47.69上找到的结构相匹配:归功于@kafeine,@MalwareSigs,@恶意软件流量的辛勤工作。漏洞工具包概述此攻击工具包针对两个不同的软件:Microsoft Silverlight和Adobe Flash。但是,与其他一些漏洞工具包不同,它只会在每次加载时推送一次漏洞攻击,首先优先使用Silverlight,然后才是Flash。攻击路径仅限Silverlight:仅限闪光灯:Silverlight和Flash: 所有三条成功的路径都会导致:Silverlight漏洞利用闪存利用 案例1:Silverlight漏洞利用场景登录页网址:hxxp://www.pizzanetp.com/nhqdxa/eipm.php(静态名称)除臭亮点:Silverlight漏洞利用网址:hxxp://www.pizzanetp.com/nhqdxa/vpclcy.x(静态名称)使用的版本:5.1.10411.0CVE-2013-0074病毒总数检测:(4/55)以下是激发攻击所需的Silverlight对象:以下是对用于利用漏洞(内存泄漏)的API(InternetOpenUrlA)的调用:在内存中加载外壳代码后,防御ddos策略,它可以使用读写权限从堆运行负载:现在DLL被调用,系统被感染(请注意,每次删除的DLL名称都是随机的):案例2:Flash漏洞利用场景登录页与案例1相同。闪存利用网址:hxxp://www.pizzanetp.com/nhqdxa/oujyt.swf(静态名称)使用的版本:11.3.300.273VirusTotal detection:(7/54)和元数据:有效载荷Silverlight启动的负载:hxxp://www.pizzanetp.com/nhqdxa/yztl.php(静态名称)哈希:ba9d1976118c944bc70a200a6bfd961c75bc534ec0a7e687ad7f13db403b7280闪光启动有效载荷:hxxp://www.pizzanetp.com/nhqdxa/gjtzssq.php(静态名称)哈希:a190900ee5bfd20e0e4e79a361905c0244a526def158a7dae72a8a81cf994b46两个文件都是相同的有效负载,即使它们的大小不同。这是由于Silverlight和Flash特有的编码/解码例程造成的。规避技术通过枚举已安装的注册表项列表检索以下恶意软件:HKLM\系统\控制集001\服务黑名单服务(虚拟化产品):vmicexchangevmci公司虚拟机调试vm鼠标虚拟机工具VMMEMCTL公司vmware公司vmx86型vpc-s3vpcuhub公司msvmmouf公司vbox鼠标VBoxGuest公司VBoxSF公司谢内夫特钦xennet公司xennet6型xensvc公司xenvdb公司该恶意软件通过执行WMI脚本("Select*from Win32_Process")检索正在运行的进程的列表黑名单流程(虚拟化产品、沙盒和分析工具):vmware公司V装载2vmusrvc公司vmsrvc公司Vbox服务电子信箱xenservice公司joeboxserver服务器joeboxcontrol公司金丝鲨嗅嗅命中系统分析器文件管理员procexp公司普罗克蒙雷蒙自启动该恶意软件检索system32(%windir%\system32)目录中的文件列表,并查找黑名单文件(虚拟化产品):xenvdb公司hgfs系统vmhgfs.sys公司生产系统prlfs.sys公司prlmouse.sys公司prl视频系统prl_pv32.sys系统专有网络-s3.sys虚拟机维修系统vmx86.sys系统虚拟制造系统有效载荷详细信息Google Chrome(版本36.0.1985)从远程服务器下载:hxxp://109.206.180.132/hfudk435k/cn.36.2?i=7BF06358932C9C6CF9DA699098A7006E&a=136&b=190963631命名为"浏览器.exe,chrome exe,它在用户的appdata文件夹中创建一个文件夹,通过连接两个字符串命名:第一个列表:游戏,工具,实用工具,Sysutil,浏览器,导航器,ddos防御ip,调制器,接收器,计算器,验证器,用户界面,提供者,出纳员,叙述者,支持者,志愿者,乙烯基,聚酯纤维,棉花,威士忌第二个列表:可视、可选、爪哇、软件、助手、模型、重力、希格斯粒子、中等、值得注意、苍白、无限、语音、同步、关节、移动、无线、无线电、谦卑、比尔瓦尔在分析机器上,Chrome的路径是"C:\Documents and Settings\Administrator\Local Settings\Application Data\SupporterSoftware\ToolModel"\浏览器.exe"恶意软件DLL被远程加载到chrome中,主线程继续运行。此进程是在挂起状态下创建的,具有附加的URL参数:"C:\Documents and Settings\Administrator\Local Settings\Application Data\SupporterSoftware\ToolModel\浏览器.exe"--加载扩展名="C:\Documents and Settings\Administrator\Local Settings\Application Data\SupporterSoftware\UtilityMedium"http://206.51.231.110/jNryH6/dERkj82cbbR2?电话:41170B8939AF1570CD8993627E6CA162&o=145&y=1以下是该URL的源代码:144.76.80.177|searchaccess.com|标题窗口.setTimeout(函数(){窗口位置="http://searchaccess.com/?search=scrabble+word+finder&JdueHdbS=http%3A%2F%2Fflyclick.biz%2Fclick%…";},8000);searchaccess.com显示"未激活"消息:但我们不要被这个愚弄了。以下是Google如何索引服务器:以下是WHOIS的信息,确实让人有些吃惊:对该域的其他搜索显示,其名称服务器(首次出现于2013-12-30 13:40:36-0000)的解析为:searchaccess.com. 纳秒购买internettraffic.comsearchaccess.com. 纳秒sell.internettraffic.com网站通过关联这些N,我们可以找到有关点击欺诈活动的有趣信息。如果您感染了此恶意软件,阿里巴巴防御ddos原理,请阅读Pieter Arntz的此删除指南。结论有效载荷似乎是一个浏览器劫持,云防御ddos,其目标是从受感染计算机非法获得广告收入。更令人费解的是,这个漏洞工具包已经存在了这么长时间,但却如此安静,更不用说即使使用适当的引用者也很难复制感染(IP黑名单、地理位置等)。另一个大问题是:为什么作者会费心于这种先进的指纹识别和规避技术,这是我们通常在典型恶意软件中看不到的。这项研究似乎比我们刚开始时提出了更多的问题。不过,这并不罕见,至少有一些点是相互关联的。大卫·桑切斯、约书亚·坎内尔和史蒂芬·伯恩也提供了更多的稿件。@杰罗米塞古