色情网站的光棍节“福利”:加密式挂马玩转流氓推广
结语:
攻击者对相关加密算法比较了解,选用了较为少见的Rabbit对称加密算法;攻击者具备一定的前端开发经验,代码容错性强,兼容性高了;后台不再是静态文件,而采用了动态生成内容,生成的网址也是一次性的;所有的js代码均经过了混淆变量的操作。
攻击者逐步开始学习国外流行Exploitkit的做法,动态生成攻击页面,并对漏洞利用代码加密,防止网关过滤和流量包重放分析,加大了分析难度,也有助于保密攻击代码。
对于普通用户建议应该尽量避免使用外挂辅助、避免点击伪装色情网站的恶意广告、开启安全软件进行防护。
https://bbs.safewiki.org/thread-141-1-1.html
通过监控追踪发现主要来源于外挂以及色情网站的自动弹窗广告,用户使用此类外挂自动弹出同城交友广告或浏览某些色情网站就可能触发带漏洞攻击的页面,如果此时受害者的机器没有打相应补丁的话,就会触发相应漏洞,开始下载木马并执行:
主要功能:
每次服务器都会生成一个随机的validate值放入表单中,这个值每次刷新得到的结果都不一样,通过这个值作为浏览器的会话标记。
此外,攻击者使用IE官方的HTML条件注释来进行浏览器版本判断,这种判断对于常见的前端设计是有效的,但是对于浏览器漏洞利用却是错误的,因为不同浏览器都会开启不同程度的兼容模式,导致错误的兼容性设置结果,所以不如直接判断浏览器版本好。
根据浏览器的上述的结果,构造最终需要提交的表单数据,并进行GET提交
GET提交的地址http://174.*.*.42/p/servlet?token=&id=49457&validate=XXXXXXXXXX
参数中有servlet,故猜测有可能后台是java。
这个请求会被302重定向到另外一个页面:
http://174.*.*.43/rt/ab06add394fb469b6510973131acb870.html?id=49457
这个页面会根据ID返回Rabbit或者RC4的加密后的Load代码,页面载入了额外的两个js库文件(encrypt.min.js、tinyjs.min.js),提供相关的对称和非对称加密算法。
代码中会预制一个RSA公钥,然后使用随机数生成函数来生成一段字符串作为后续的对称加密密钥,并将该数据POST到服务器,此外还会动态生成一个字符串,两者拼接后作为后续通讯加密的密钥。POST请求会从服务端返回这个密钥加密的漏洞利用代码。此时会根据接收到的数据选项,选择使用RC4还是Rabbit算法进行解密并执行。
漏洞利用成功后,会利用regsvr32调用sct文件执行对应脚本。
(Regsvr32是Windows命令行实用工具用于注册动态链接库文件,向系统注册控件或者卸载控件的命令,以命令行方式运行。国外网友Casey Smith@subTee发现通过调用regsrv32实用程序执行一条命令或者.sct文件有可能绕过AppLocker的脚本规则。由于该实用程序是具有微软官方签名的所以好处自不用多说了,并且支持TLS加密,遵循重定向方式,且不会在磁盘上留下痕迹。鉴于这么多优点,挂马者自然不会错过)
Sct文件:
文件中包含了经过base64编码后的恶意dll文件,利用ActiveXObject写入到本地文件,
在使用脚本操作二进制文件时,常常会因为不可见字符报错,所以挂马者通常会选择先对二进制文件作base64编码再操作,最后通过解码还原出二进制文件;
结语:
攻击者对相关加密算法比较了解,选用了较为少见的Rabbit对称加密算法;攻击者具备一定的前端开发经验,代码容错性强,兼容性高了;后台不再是静态文件,而采用了动态生成内容,生成的网址也是一次性的;所有的js代码均经过了混淆变量的操作。
攻击者逐步开始学习国外流行Exploitkit的做法,动态生成攻击页面,并对漏洞利用代码加密,防止网关过滤和流量包重放分析,加大了分析难度,也有助于保密攻击代码。
对于普通用户建议应该尽量避免使用外挂辅助、避免点击伪装色情网站的恶意广告、开启安全软件进行防护。
转载于:https://www.cnblogs.com/beiank/p/8875760.html
色情网站的光棍节“福利”:加密式挂马玩转流氓推广相关推荐
- 还敢搞黄色?4 个色情网站被一锅端,9 名福利姬被刑拘!
点击上方"五分钟学算法",选择"星标"公众号 重磅干货,第一时间送达 来源:扩展迷EXTFANS 9月4日,据 @江苏网警 通报: 今年3月份以来,浙江丽水莲都 ...
- 光棍节程序员闯关秀(总共10关)
程序员闯关大挑战: https://1111.segmentfault.com/ 仓鼠演示7k7k.4399小游戏: http://cdn.abowman.com/widgets/hamster/ha ...
- 《光棍节程序员闯关秀》闯关攻略
https://1111.segmentfault.com<光棍节程序员闯关秀> 程序员们,欢迎来攻!!! 在之前的基础上,重新整理了一遍,之前才闯到第8 ...
- 光棍节程序员闯关秀过关全攻略
maven/java/web/bootstrapQQ群:566862629.希望更多人一起帮助我学习. 光棍节程序员闯关秀过关全攻略.程序员的寂寞谁能懂?"SF光棍节程序员闯关秀" ...
- 【游戏】光棍节程序员闯关秀过关攻略
光棍节,与我无关,结果昨夜下了场雨,导致路面结冰,大侠的出行计划泡汤了,只好在家淘宝抢东西.结果网友发来一个光棍节程序员闯关秀游戏 ,让大侠一发不可收拾...游戏地址http://segmentfau ...
- 光棍节程序员闯关秀过关攻略
光棍节,与我无关,结果昨夜下了场雨,导致路面结冰,大侠的出行计划泡汤了,只好在家淘宝抢东西.结果网友发来一个光棍节程序员闯关秀游戏 ,让大侠一发不可收拾...游戏地址http://segmentfau ...
- “光棍节”变“购物节”的第12年:4982亿+2715亿!
今年是双11的第12个年头,与以往不同的是,双11已经不再是天猫的专属,而是全行业的狂欢,并且是全产品类的盛会.作为当下电商平台的代表,天猫.京东以及苏宁等也都交出了各自的答卷. 天猫双11成交额49 ...
- 注意了!浏览色情网站被短信通知检讨?可能是诈骗!
来源 | 澎湃新闻.九派视频等 针对"网传有学生用校园网浏览色情网站被学校学工部短信通知深刻检讨"一事,9月23日,电子科技大学党委学生工作部相关工作人员告诉记者,已关注到网络上传 ...
- 11月第3周新闻回顾:难忘的光棍节 辛劳的IT人
1.难忘的"神棍节",辛勤的IT人 2012年11月11号,又一轮沙漠风暴在"光棍节"的时候席卷互联网各大卖场,至11月12日00:00为止,阿里巴巴集团双十一 ...
最新文章
- android广告平台刷量,数据显示:Android平台广告营收首超iOS
- android-Activity的执行流程
- 【spark】SparkSession的API
- sql长整型_SQL性能优化,太太太太太太太有用了!
- vue each_Vue 应用单元测试的策略与实践 05 - 测试奖杯策略
- Python解释器有哪些?Python解释器种类
- python删除mysql数据库_python 删除mysql数据库
- linux网络收包过程
- redis哨兵模式原理_Redis的哨兵 (sentinal) 机制的工作原理
- 原型和原型链 及 instanceof函数
- 安装libvirt管理套件(C/S架构模式,用户管理kvm虚拟机)
- 写给对前途迷茫的朋友:五句话定会改变你的人生
- python安装opencv出错_python 3安装opencv 3时出错?
- 基于51单片机GPS的导航系统设计(1)---(设计思路)
- 凤凰职教网计算机一级成绩查询,一-凤凰职教网.PPT
- WPF中的对话框 Dialog
- 数据技术篇之数据同步
- Python计算文件或字符串的MD5/SHA
- 关于雷达信号“相干性”的解释
- FPGA精简版UDP协议实现板间网线传输视频,提供3套工程源码
热门文章
- C++标准程序库(学习笔记)二
- WIN/LINUX 本地指定域名IP,hosts,hosts文件位置在哪里_hosts文件怎么修复
- Android开发的UI设计——Material Design
- VC2019 VC2022添加导入Word Excel AutoCAD Surfer等类型库(typelibaray)的方法
- 地磅怎么改造才能实现无人值守称重
- SQL学习笔记——task3:MySQL复杂查询
- 本地镜像运行Docker容器Unable to find image 'hello-world:latest' locally docker: Error response from daemon
- java 调用net use 失败_JAVA使用maven管理项目,JUnit测试运行出现class not found错误
- 基于javaweb的农产品溯源管理系统(java+ssm+jsp+layui+jquery+mysql)
- OAuth2.0的一些疑问