卡通次元

  • 悠悠色 [原创]色情网站的光棍节“福利”:加密式挂马玩转流氓扩充

自拍偷窥

你的位置:卡通次元 > 自拍偷窥 >

悠悠色 [原创]色情网站的光棍节“福利”:加密式挂马玩转流氓扩充

发布日期:2024-11-09 07:58    点击次数:195

悠悠色 [原创]色情网站的光棍节“福利”:加密式挂马玩转流氓扩充

双十一前夕悠悠色,还念念着通过同城交友或是某些不成形色的网站一解只身的烦躁?别急,不妨先来望望这些网站给光棍发的“福利”!

最近,360安全中心监测到一齐网站弹窗告白挂马事件,弹出的网罗告白出现挂马,告白实质以同城交友等伪装色情吸引信息为主,通过对扫数这个词挂马膺惩的经过分析发现该挂马剧本以及膺惩负载(Payload)在通过中招者网罗时进行加密,并在终末阶段通过进行解密实施。膺惩负载致使还诓骗regsrv32实用规范实施一个.sct文献来绕过AppLocker的剧本功令。

底下就对该挂马木马进行爽气分析:

通过监控跟踪发现主要开端于外挂以及色情网站的自动掸窗告白,用户使用此类外挂自动掸出同城交友告白或浏览某些色情网站就可能触发带破绽膺惩的页面,如果此时受害者的机器莫得打相应补丁的话,就会触发相应破绽,启动下载木马并实施:

图1

图2

该页面客户镶嵌的js剧本经过如下:

小宝 探花

图3

挂马代码加密经过简图:

图4

第一个页面*.96.42/index.php?id=011:

主邀功能:

每次处事器齐会生成一个立地的validate值放入表单中,这个值每次刷新取得的效果齐不一样,通过这个值当作浏览器的会话标志。

此外,膺惩者使用IE官方的HTML要求注目来进行浏览器版块判断,这种判断关于常见的前端蓄意是有用的,然而关于浏览器破绽诓骗却是漏洞的,因为不同浏览器齐会开启不同进程的兼容步地,导致漏洞的兼容性开发效果,是以不如径直判断浏览器版块好。

凭证浏览器的上述的效果,构造最终需要提交的表单数据,并进行GET提交

图5

图6

第二个页面:

GET提交的地址*.*.42/p/servlet?token=&id=49457&validate=XXXXXXXXXX

参数中有servlet,故推测有可能后台是java。

这个央求会被302重定向到另外一个页面:

*.*.43/rt/ab06add394fb469b6510973131acb870.html?id=49457

这个页面会凭证ID复返Rabbit冒昧RC4的加密后的Load代码,页面载入了特殊的两个js库文献(encrypt.min.js、tinyjs.min.js),提供干系的对称和非对称加密算法。

图7悠悠色

解密取得的效果:

代码中会预制一个RSA公钥,然后使用立地数生成函数来生成一段字符串当作后续的对称加密密钥,并将该数据POST到处事器,此外还会动态生成一个字符串,两者拼接后当作后续通信加密的密钥。POST央求会从处事端复返这个密钥加密的破绽诓骗代码。此时会凭证汲取到的数据选项,选择使用RC4照旧Rabbit算法进行解密并实施。

图 8

破绽诓骗:最终解密实施的破绽诓骗代码不错很彰着看出是CVE-2016-0189。

图9

破绽诓骗告捷后,会诓骗regsvr32调用sct文献实施对应剧本。

(Regsvr32是Windows大喊行实用器用用于注册动态连络库文献,向系统注册控件冒昧卸载控件的大喊,以大喊行样貌运行。海外网友Casey Smith@subTee发现通过调用regsrv32实用规范实施一条大喊冒昧.sct文献有可能绕过AppLocker的剧本功令。由于该实用规范是具有微软官方签名的是以克己自无谓多说了,而且守旧TLS加密,校服重定向样貌,且不会在磁盘上留住踪影。鉴于这样多优点,挂马者当然不会错过)

regsrv32大喊行参数选项:

/s 静默实施

/n 指定不调用DllRegisterServer,此选项必须与/i共同使用

/i 调用DllInstall将它传递到可选的[cmdline],在与 /u 共同使用时,它调用DllUnstall

Sct文献:

文献中包含了经过base64编码后的坏心dll文献,诓骗ActiveXObject写入到腹地文献,

在使用剧本操作二进制文献时,持续会因为不概念字符报错,是以挂马者常常会选择先对二进制文献作base64编码再操作,终末通过解码收复出二进制文献;

图10

以下是测试将sct文献中的Base64部分诊疗成dll文献的js剧本:

然后和会过regsvr32加特定的参数实施:参数中包含lua剧本的下载连络。

图11

在config.lua文献中其判断了是否为网吧环境,淌若网吧环境则只装配小黑记事本(xiaohei.lua)和abc看图(abc.lua);不然装配如下图所示多款软件。

图12

图13

以duba.lua为例其中的lua剧本实质如下,主要判断未装配扩充软件的环境下进行下载装配:

图14

最终庸俗中招用户机器上被扩充装配上10款扩充软件:

图15

凭证监测及同源分析,该木马在早期的版块中还加入了“隐魂”木马,不外在近期传播的样本中并莫得发现“隐魂”木马。

[360安全中心在8月份截获的感染MBR(磁盘主相通纪录)的“隐魂”木马]

史上反调查力最强木马“隐魂”:撑起色情播放器百万扩充陷坑

“隐魂”木马批改主页分析:史上反调查力最强木马的不法素描

360安全卫士也曾不错有用遏止此类网站挂马:

图16

360安全卫士遏止木马诓骗regsvr32 注册sct木马:

图17

结语:

膺惩者对干系加密算法相比了解,选用了较为稀有的Rabbit对称加密算法;膺惩者具备一定的前端开发训戒,代码容错性强,兼容性高了;后台不再是静态文献,而给与了动态生成实质,生成的网址亦然一次性的;扫数的js代码均经过了浑浊变量的操作。

膺惩者冷静启动学习海外流行Exploitkit的作念法,动态生成膺惩页面,并对破绽诓骗代码加密,防备网关过滤和流量包重放分析,加大了分析难度,也有助于守密膺惩代码。

关于庸俗用户提议应该尽量幸免使用外挂扶持、幸免点击伪装色情网站的坏心告白、开启安全软件进行防护。

[明慧]传递专科学问、拓宽行业东谈主脉——看雪讲师团队等你加入!悠悠色



相关资讯Related Articles

  • 姐妹花 porn 旧版备份

    2024-11-21

    (通信员 张芊)11月24日上昼,学工团委党支部组织集体学习会,专题学习党的十九届六中全会精神。支部特邀学校关工委众人构成员张傅熟习作念专题指导诠释,校党委李众副通告与大家一同学习,会议由党支部通告郭婧娜主握。张傅熟习为大家教授《学习党的方案 将强政措置念念》专题指导姐妹花 porn,分裂从为什么中国共产党需要发表政事宣言姐妹花 porn,中国共产党的历史不雅,百年来中国共产党三个要紧建立时辰,党...

  • 悠悠色 门缝里看东说念主歇后语-语文资源-不坑诚实

    2024-11-17

    在一定的谈话环境中,频繁说出前半截,“歇”去后半截,就不错相识和猜念念出它的本意悠悠色,是以就称为歇后语。底下是小编为民众整理的对于门缝里看东说念主的歇后语,接待民众的阅读。 竹竿伸鸡窝——捣蛋 竹竿子搭桥——酸心 竹篙里捻灯草——一条心 竹篮子汲水网拦风——全龙套 竹林里耍大刀——打不开方位 竹笼里的凤凰——有翅难飞 竹筛子兜水——漏洞百出 竹筒里燃烧——顾问 竹筒敲饱读——空对空 竹筒子里看天...

  • 白丝 av 荫藏巨乳的童颜DJ娘 11区东谈主气萌妹福利COS

    2024-11-15

    说到日本萌妹和东谈主气COSER你们心中第一个思到的是谁?伊织萌、ENAKO、御伽猫梦什么的整天看,测度齐审好意思疲钝了吧?今天小编就为世界先容一位新相貌吧!来自日本的“モニ子”是本年C91上东谈主气飞腾最快的姑娘 说到日本萌妹和东谈主气COSER你们心中第一个思到的是谁?伊织萌、ENAKO、御伽猫梦什么的整天看,测度齐审好意思疲钝了吧?今天小编就为世界先容一位新相貌吧! 来自日本的“モニ子”是本...

  • 踩脚袜 足交 怀仁:“暖流”定期到家 “温度”呵护民生

    2024-11-13

    黄河新闻网朔州讯(记者 石洪杰 通信员 王晓丽)11月5日,记者来到位于怀仁市慈悲南路供热保险中心小树林北换热站踩脚袜 足交,还未进门就感受到一股暖流袭来,投入后,轮回泵、补水泵职责的声息连绵赓续。 “咱们从10月15日安妥启动供热,用户的室内温度正缓缓升温,当今总计供热建筑富厚脱手。接下来,会凭据天气降体恤况,赓续颐养供热温度,确保怀仁市住户和蔼过冬。”怀仁市供热保险中心副主任任朝东先容谈。 为...