卡通次元

  • 悠悠色 [原创]色情网站的光棍节“福利”:加密式挂马玩转流氓扩充

自拍偷窥

你的位置:卡通次元 > 自拍偷窥 >

悠悠色 [原创]色情网站的光棍节“福利”:加密式挂马玩转流氓扩充

发布日期:2024-11-09 07:58    点击次数:194

悠悠色 [原创]色情网站的光棍节“福利”:加密式挂马玩转流氓扩充

双十一前夕悠悠色,还念念着通过同城交友或是某些不成形色的网站一解只身的烦躁?别急,不妨先来望望这些网站给光棍发的“福利”!

最近,360安全中心监测到一齐网站弹窗告白挂马事件,弹出的网罗告白出现挂马,告白实质以同城交友等伪装色情吸引信息为主,通过对扫数这个词挂马膺惩的经过分析发现该挂马剧本以及膺惩负载(Payload)在通过中招者网罗时进行加密,并在终末阶段通过进行解密实施。膺惩负载致使还诓骗regsrv32实用规范实施一个.sct文献来绕过AppLocker的剧本功令。

底下就对该挂马木马进行爽气分析:

通过监控跟踪发现主要开端于外挂以及色情网站的自动掸窗告白,用户使用此类外挂自动掸出同城交友告白或浏览某些色情网站就可能触发带破绽膺惩的页面,如果此时受害者的机器莫得打相应补丁的话,就会触发相应破绽,启动下载木马并实施:

图1

图2

该页面客户镶嵌的js剧本经过如下:

小宝 探花

图3

挂马代码加密经过简图:

图4

第一个页面*.96.42/index.php?id=011:

主邀功能:

每次处事器齐会生成一个立地的validate值放入表单中,这个值每次刷新取得的效果齐不一样,通过这个值当作浏览器的会话标志。

此外,膺惩者使用IE官方的HTML要求注目来进行浏览器版块判断,这种判断关于常见的前端蓄意是有用的,然而关于浏览器破绽诓骗却是漏洞的,因为不同浏览器齐会开启不同进程的兼容步地,导致漏洞的兼容性开发效果,是以不如径直判断浏览器版块好。

凭证浏览器的上述的效果,构造最终需要提交的表单数据,并进行GET提交

图5

图6

第二个页面:

GET提交的地址*.*.42/p/servlet?token=&id=49457&validate=XXXXXXXXXX

参数中有servlet,故推测有可能后台是java。

这个央求会被302重定向到另外一个页面:

*.*.43/rt/ab06add394fb469b6510973131acb870.html?id=49457

这个页面会凭证ID复返Rabbit冒昧RC4的加密后的Load代码,页面载入了特殊的两个js库文献(encrypt.min.js、tinyjs.min.js),提供干系的对称和非对称加密算法。

图7悠悠色

解密取得的效果:

代码中会预制一个RSA公钥,然后使用立地数生成函数来生成一段字符串当作后续的对称加密密钥,并将该数据POST到处事器,此外还会动态生成一个字符串,两者拼接后当作后续通信加密的密钥。POST央求会从处事端复返这个密钥加密的破绽诓骗代码。此时会凭证汲取到的数据选项,选择使用RC4照旧Rabbit算法进行解密并实施。

图 8

破绽诓骗:最终解密实施的破绽诓骗代码不错很彰着看出是CVE-2016-0189。

图9

破绽诓骗告捷后,会诓骗regsvr32调用sct文献实施对应剧本。

(Regsvr32是Windows大喊行实用器用用于注册动态连络库文献,向系统注册控件冒昧卸载控件的大喊,以大喊行样貌运行。海外网友Casey Smith@subTee发现通过调用regsrv32实用规范实施一条大喊冒昧.sct文献有可能绕过AppLocker的剧本功令。由于该实用规范是具有微软官方签名的是以克己自无谓多说了,而且守旧TLS加密,校服重定向样貌,且不会在磁盘上留住踪影。鉴于这样多优点,挂马者当然不会错过)

regsrv32大喊行参数选项:

/s 静默实施

/n 指定不调用DllRegisterServer,此选项必须与/i共同使用

/i 调用DllInstall将它传递到可选的[cmdline],在与 /u 共同使用时,它调用DllUnstall

Sct文献:

文献中包含了经过base64编码后的坏心dll文献,诓骗ActiveXObject写入到腹地文献,

在使用剧本操作二进制文献时,持续会因为不概念字符报错,是以挂马者常常会选择先对二进制文献作base64编码再操作,终末通过解码收复出二进制文献;

图10

以下是测试将sct文献中的Base64部分诊疗成dll文献的js剧本:

然后和会过regsvr32加特定的参数实施:参数中包含lua剧本的下载连络。

图11

在config.lua文献中其判断了是否为网吧环境,淌若网吧环境则只装配小黑记事本(xiaohei.lua)和abc看图(abc.lua);不然装配如下图所示多款软件。

图12

图13

以duba.lua为例其中的lua剧本实质如下,主要判断未装配扩充软件的环境下进行下载装配:

图14

最终庸俗中招用户机器上被扩充装配上10款扩充软件:

图15

凭证监测及同源分析,该木马在早期的版块中还加入了“隐魂”木马,不外在近期传播的样本中并莫得发现“隐魂”木马。

[360安全中心在8月份截获的感染MBR(磁盘主相通纪录)的“隐魂”木马]

史上反调查力最强木马“隐魂”:撑起色情播放器百万扩充陷坑

“隐魂”木马批改主页分析:史上反调查力最强木马的不法素描

360安全卫士也曾不错有用遏止此类网站挂马:

图16

360安全卫士遏止木马诓骗regsvr32 注册sct木马:

图17

结语:

膺惩者对干系加密算法相比了解,选用了较为稀有的Rabbit对称加密算法;膺惩者具备一定的前端开发训戒,代码容错性强,兼容性高了;后台不再是静态文献,而给与了动态生成实质,生成的网址亦然一次性的;扫数的js代码均经过了浑浊变量的操作。

膺惩者冷静启动学习海外流行Exploitkit的作念法,动态生成膺惩页面,并对破绽诓骗代码加密,防备网关过滤和流量包重放分析,加大了分析难度,也有助于守密膺惩代码。

关于庸俗用户提议应该尽量幸免使用外挂扶持、幸免点击伪装色情网站的坏心告白、开启安全软件进行防护。

[明慧]传递专科学问、拓宽行业东谈主脉——看雪讲师团队等你加入!悠悠色



相关资讯Related Articles

  • 踩脚袜 足交 怀仁:“暖流”定期到家 “温度”呵护民生

    2024-11-13

    黄河新闻网朔州讯(记者 石洪杰 通信员 王晓丽)11月5日,记者来到位于怀仁市慈悲南路供热保险中心小树林北换热站踩脚袜 足交,还未进门就感受到一股暖流袭来,投入后,轮回泵、补水泵职责的声息连绵赓续。 “咱们从10月15日安妥启动供热,用户的室内温度正缓缓升温,当今总计供热建筑富厚脱手。接下来,会凭据天气降体恤况,赓续颐养供热温度,确保怀仁市住户和蔼过冬。”怀仁市供热保险中心副主任任朝东先容谈。 为...

  • 勾引 处男 外企高管自拍偷拍100余女子瞻念视频 卖黄片收入百万

    2024-11-12

    4月18日,央视《新闻联播》报说念了各地严查互联网涉黄涉非罪犯作歹手脚,潜入推动“净网”“护苗”等专项手脚。世界“扫黄打非”办公室发布通报,本年1至3月,世界共立案查处“扫黄打非”案件1079起勾引 处男,其中刑事案件130余起,涉采集案件541起。 采集是“扫黄打非”职责东战场。连年来,欺诈采集淫秽色情信息牟利案件呈现涉案东说念主员多、涉案金额高、散布地域广、愈加障翳等新特质。 2016年,辽宁...

  • 悠悠色 贞洁云南竖立·州市“一霸手”谈落实丨陈明:以“文山之干”

    2024-11-12

    5月23日悠悠色 《云南发布》刊发著作 《以贞洁云南竖立州市“一霸手”谈落实丨陈明:以“文山之干”纵深激动贞洁云南竖立》 文山州委布告陈明安身文山实质 围绕纵深激动贞洁云南竖立谈念念路、话举措 一谈来看详备报谈 ↓↓↓ 以“文山之干”纵深激动贞洁云南竖立 文山州委布告 小宝 探花 陈明 贞洁云南竖立是省委激动全面从严治党的不毛持手。文山州将潜入学习领路习近平总布告对于党的自我改进的不毛念念想,以“...

  • 麻豆 足交 一战打出收视翻盘,MLB全国大赛赢在哪?|扬基|棒球

    2024-11-11

    麻豆 足交 文 /孔牧荑 编 / 李禄源 总比分4-1,系列赛第五场在一度过期5分的不利局面下顶风翻盘——2024年MLB全国大赛结束,洛杉矶说念奇用队史第八座冠军为这个赛季画上了句点。 说念奇一垒手弗雷迪-弗里曼(Freddie Freeman)在五场比赛中包办了全队23分中的12分,毫无悬念斩获全国大赛MVP;本年冬季签下创记录7亿超等合约的日本东说念主气巨星大谷翔平(Shohei Ohtan...