Geçen hafta Çin'de tanınmış bir meyve hayranı topluluğu olan Weifeng.com'a yapılan saldırının ardından (olay geçen hafta meydana geldi, Weifeng.com onarıldı), 360 güvenlik görevlisi bir kez daha hacker'ın diğer web sitesi forumlarında da asılı olduğunu keşfetti. Mart ayından bu yana, 360 İnternet Güvenlik Merkezi bu örneğin düzensiz yönetim kayıtlarını tespit etti Bu durum 11 Nisan'dan beri artıyor. Birden çok forumda çok sayıda gönderi, Flash güvenlik açığı saldırı programlarına eklendi. Weifeng.com, her gün milyonlarca sayfa görüntülemesi ile Çin'deki Apple kullanıcıları için en büyük Çin forumu olduğundan, Weifeng Truva atı saldırılarına karşı 360 Güvenlik Görevlilerinin müdahale miktarı önemli ölçüde arttı. Daha sonra Xiaoqi Forum ve Game Booty Bay gibi forumlarda da numunenin izlerini bulduk.
Saldırganlar çoğunlukla popüler gönderileri yanıtlar ve değiştirilmiş Hacking Team'in Adobe Flash Player güvenlik açığı (CVE-2015-5122) tarafından saldırıya uğrayan Flash öğeleri ekler. Gönderilere göz atan kullanıcılar Flash'ı zamanında güncellemezse veya güvenilir güvenlik yazılımı yüklerse, bilgisayar Truva atı programını otomatik olarak indirip çalıştırın. Etkilenen Truva atı, PlugX serisi uzaktan kumanda programıdır. Kurbanın sistemine girdikten sonra, Hong Kong'da bulunan kontrol sunucusuna bağlanacaktır. Bilgisayar korsanları, kurbanın bilgisayarını tamamen kontrol edebilir ve izleyebilir ve özel dosyaları ve hesap şifrelerini çalabilir. Ve diğer önemli bilgiler. Herhangi bir kullanıcının harici ağa herhangi bir flash dosyasını doğrudan eklemesine izin veren birçok yerel forum olduğundan, bu bilgisayar korsanları için fırsatlar yaratır.
Saldırı süreci
Bu örnekte kullanılan saldırı yöntemleri
Örnek analiz
Ana programla birlikte gelen şifrelenmiş veri dosyasını okuyun. Aşağıdakiler kaynak verilerini okumaktır
Kaynak verilerini okuduktan sonra, program ilk olarak kaynak dosyasındaki verilerin bir kısmının şifresini çözer ve şifre çözme işleminden sonra bir pe dosyası alır. Dosya bir dll'dir ve ana program dll'yi belleğe yükler.
Yeni şifresi çözülen dll, virüsten koruma yazılımı olup olmadığını görmek için önce süreci geçecektir.
Aşağıda, bu örnekle test edilen antivirüs yazılımının bir listesi bulunmaktadır
360tray.exe 360 Güvenlik Görevlisi
qqpctray.exe Tencent Butler
alyac.exe Korece ücretsiz anti-yazılım
kvmonxp Jiangmin yumuşak öldürmek
ccsvchst.exe Norton
Baiduhips baidu
kvfw.exe Jiangmin kv güvenlik duvarı
kxetray.exe Kingsoft
ravmonf.exe Yükseliyor
avp.exe Kaspersky
uiSeAgnt.exe Trend Micro
Ortamı tespit ettikten sonra, birden fazla dosya yayınlamaya başlayın
Askı, 9158 dijital imzasıyla (çok oyunculu bir ağ video platformu) dijital olarak imzalanmış bir iexplore.exe yayınlar. Aşağıdaki şekil, askı tarafından yayınlanan normal iexplore ve iexplore arasında bir karşılaştırmadır. Anti-virüs yazılımını atlamanın ücretsiz bir yolunu kullanın
Sorun giderici, HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionAppCompatFlagsLayers anahtarının yeni yayınlanan iexplore'a işaret etmesini sağlayarak UAC'yi atlar. Yönetici haklarıyla "iexplore" başlatmak için ulaşıldı
Kayıt formunu yazdıktan sonra, iexplore'a başlayın ve süper uzun, bozuk bir parametre, insan dışı tasarım o ( ) o.
Hazırlıklar tamamlandığında cesetler imha edilecek. Kendini sil
Yeni oluşturulan iexplore programı taşıdığı verileri explor.exe dosyasına enjekte edecektir.
İexplore'un kullanıcının bilgisayarı başladığında bir hizmet olarak başlayabilmesi için bir hizmet oluşturun. Bir hizmet biçiminde başlamak genellikle bir isabetin tespit edilmesi zordur. Çünkü bilgisayarda genellikle birçok svchost işlemi vardır.
Servisi yazdıktan sonra programı servis olarak başlatın
Kullanıcının bilgisayarını izlemek için bir ağ bağlantısı oluşturun
Hizmet başladıktan sonra, etki alanı adını çözümler ve ardından sürekli olarak 162.251.20.165'te sinyal paketleri gönderir. Anti-ip sorgusu sayesinde, askının genel bulut dinamik alan adını kullandığı tespit edilir.
Bilgi takibi
Yakın zamanda bulunan iki forumda, Xiaoqi forumuna kayıtlı olan kullanıcı eski bir kullanıcı. 2014'ten beri kayıtlı olan Xiaoqi Forum, Çin'de bir anti-virüs forumudur. Faydalarla dolu olan bu yerde, kaç kişi başkaları için at yetiştirmek istiyor, ancak başkaları tarafından farkında olmadan yetiştirildi. Her zaman kötü şeyler yapmayı düşünmeyin, peygamberdevesinin ağustosböceği ve sarıasma yakaladığına dikkat edin.
Bu, Xiaoqi forumuna atı bağlayan askının ekran görüntüsü, sadece basit bir cevap, genellikle bu genellikle bir su etiketi veya başka bir şey olarak kabul edilir ve kimse buna dikkat etmez, ancak bu cevap Arkasında bir bağlantı gizlidir. Hiçbir şey yapmazsan, sadece tetikle
Adobe Flash Player güvenlik açığı (CVE-2015-5122), yakalandınız.
Kullanıcının Baidu Bulut hesabını, kullanıcının paylaşılan kaynaklarının bağlantısından buluruz. Fuck there aslında bir QQ hesabına sahip ve onu gördüğümde heyecanlandım. Ancak QQ hesabı, truva atı tarafından kirli şeyler yapmak için özel olarak kullanılmalıdır, bu nedenle hiçbir değerli şey bulunamamıştır. o ( ) o beyaz mutlu
Dağın önünde bir yol olmalı, ancak Xiaoqi forumunda askının yanında bir yazı da gördük.
Gönderi, doğrudan bir yönetici olduğu ortaya çıkan sadboy.org forumundaki flaş asılı bir at videosuna atladı. o ( ) o
Yukarıdaki bilgilerden atı bağlayan kişi forumun web yöneticisidir. Forum bilgileri hakkında soru sorulduğunda, forum kaydında kullanılan bilgilerin yanlış bilgi olduğu tespit edildi (gizlilik çalışması hala iyi yapılıyor). Yalnızca bir foxmail posta kutusu gerçektir
Askı forumunda uzaktan kumanda satan bir grup bulduk
Grupta askıyı da bulduk. Yas, sadece atları asmakla kalmıyor, aynı zamanda uzaktan kumanda da satıyor. Gerçekte ne tür bir kara para kazanılır. Sadece kara paranın sıcak olup olmadığını sormak istiyorum?
Yalnızca uzaktan kumanda değil, aynı zamanda sızan çeşitli veritabanlarını da satar o ( ) o
Foruma kaydolurken, bir davet kodu satın almam gerektiğini fark ettim. Atı bağlayan kişinin adının bir kısmını görmek için geçmişe tıklayın
Ardından forumda, foruma kaydolurken kullanılan e-posta hesabı olan bir Alipay hesabı bulduk.
Sonra cep telefonumdan Alipay'e baktım ve forumdaki davetiye kodunu satın alan hesapla aynı hesap olduğunu buldum. Ve yazarın tam adını aldık
!
Xiaoqi Forum, Çin'de tanınmış bir anti-virüs forumudur ve bir anti-virüs forumu, on binlerce günlük ziyaretle atlarla ilişkilendirilmiştir. Biraz hırsızlık ve pirinci gölgede bırakmama. Herkes yumuşak bir şekilde öldürmekten kaçınmak ister. Ama diğerleri tarafından arkaya sıkışmıştı. Bilgisayar korsanlarının öldürme önleyici Truva atlarını her yere yayan çok sayıda bilgisayarı kontrol ettiği ve kontrol ettikleri kullanıcıların iki katına çıktığı gerçeğini düşünün. Nehir kenarında sık sık yürürken ayakkabılarını nasıl ıslatmazsın?
Orijinal makale, yazar: Damlalar, yeniden yazdırılırsa lütfen kaynağı belirtin: http: //www.mottoin.com/tech/116135.html