g u t x .com.tr İpek yolu - Çin'i anlamaya götürürüm

Meyve tozundan siyah yeme siyaha: forumda asılı atların tuhaf bir şekilde tersine çevrilmesi

0x00 Önsöz

Geçen hafta Çin'de tanınmış bir meyve hayranı topluluğu olan Weifeng.com'a yapılan saldırının ardından (olay geçen hafta meydana geldi, Weifeng.com onarıldı), 360 güvenlik görevlisi bir kez daha hacker'ın diğer web sitesi forumlarında da asılı olduğunu keşfetti. Mart ayından bu yana, 360 İnternet Güvenlik Merkezi bu örneğin düzensiz yönetim kayıtlarını tespit etti Bu durum 11 Nisan'dan beri artıyor. Birden çok forumda çok sayıda gönderi, Flash güvenlik açığı saldırı programlarına eklendi. Weifeng.com, her gün milyonlarca sayfa görüntülemesi ile Çin'deki Apple kullanıcıları için en büyük Çin forumu olduğundan, Weifeng Truva atı saldırılarına karşı 360 Güvenlik Görevlilerinin müdahale miktarı önemli ölçüde arttı. Daha sonra Xiaoqi Forum ve Game Booty Bay gibi forumlarda da numunenin izlerini bulduk.

0x01 Saldırı araçları

Saldırganlar çoğunlukla popüler gönderileri yanıtlar ve değiştirilmiş Hacking Team'in Adobe Flash Player güvenlik açığı (CVE-2015-5122) tarafından saldırıya uğrayan Flash öğeleri ekler. Gönderilere göz atan kullanıcılar Flash'ı zamanında güncellemezse veya güvenilir güvenlik yazılımı yüklerse, bilgisayar Truva atı programını otomatik olarak indirip çalıştırın. Etkilenen Truva atı, PlugX serisi uzaktan kumanda programıdır. Kurbanın sistemine girdikten sonra, Hong Kong'da bulunan kontrol sunucusuna bağlanacaktır. Bilgisayar korsanları, kurbanın bilgisayarını tamamen kontrol edebilir ve izleyebilir ve özel dosyaları ve hesap şifrelerini çalabilir. Ve diğer önemli bilgiler. Herhangi bir kullanıcının harici ağa herhangi bir flash dosyasını doğrudan eklemesine izin veren birçok yerel forum olduğundan, bu bilgisayar korsanları için fırsatlar yaratır.

Saldırı süreci

Bu örnekte kullanılan saldırı yöntemleri

Sorun çıkaran kişi kayıt defterini yazarak UAC'ye geldi

Truva Atı Truva Atı, anti-virüs tespitinden kaçınmak için imzalı bir iexplore.exe (Microsoft tarafından imzalanmamış) çıkarır.

Truva Atı Truva Atı, virüsten korunma yazılımından kaçmak için hassas işlemler gerçekleştirmek için explor.exe'ye veri enjekte ederek de onu hiçbir şey için kullanmadı.

Askı, hizmeti yazmak için beyaz işlemi kullanır ve programını bir hizmet olarak başlatır. Kullanıcı sisteminde kalıcı olarak bulunur

Truva Atı Truva Atı, dinamik bir alan adı satın alarak Truva Atı'na bağlanır ve bu da analistlerin bilgileri izlemesini zorlaştırır.

Örnek analiz

Ana programla birlikte gelen şifrelenmiş veri dosyasını okuyun. Aşağıdakiler kaynak verilerini okumaktır

Kaynak verilerini okuduktan sonra, program ilk olarak kaynak dosyasındaki verilerin bir kısmının şifresini çözer ve şifre çözme işleminden sonra bir pe dosyası alır. Dosya bir dll'dir ve ana program dll'yi belleğe yükler.

Yeni şifresi çözülen dll, virüsten koruma yazılımı olup olmadığını görmek için önce süreci geçecektir.

Aşağıda, bu örnekle test edilen antivirüs yazılımının bir listesi bulunmaktadır

360tray.exe 360 Güvenlik Görevlisi

qqpctray.exe Tencent Butler

alyac.exe Korece ücretsiz anti-yazılım

kvmonxp Jiangmin yumuşak öldürmek

ccsvchst.exe Norton

Baiduhips baidu

kvfw.exe Jiangmin kv güvenlik duvarı

kxetray.exe Kingsoft

ravmonf.exe Yükseliyor

avp.exe Kaspersky

uiSeAgnt.exe Trend Micro

Ortamı tespit ettikten sonra, birden fazla dosya yayınlamaya başlayın

Askı, 9158 dijital imzasıyla (çok oyunculu bir ağ video platformu) dijital olarak imzalanmış bir iexplore.exe yayınlar. Aşağıdaki şekil, askı tarafından yayınlanan normal iexplore ve iexplore arasında bir karşılaştırmadır. Anti-virüs yazılımını atlamanın ücretsiz bir yolunu kullanın

Sorun giderici, HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionAppCompatFlagsLayers anahtarının yeni yayınlanan iexplore'a işaret etmesini sağlayarak UAC'yi atlar. Yönetici haklarıyla "iexplore" başlatmak için ulaşıldı

Kayıt formunu yazdıktan sonra, iexplore'a başlayın ve süper uzun, bozuk bir parametre, insan dışı tasarım o ( ) o.

Hazırlıklar tamamlandığında cesetler imha edilecek. Kendini sil

Yeni oluşturulan iexplore programı taşıdığı verileri explor.exe dosyasına enjekte edecektir.

İexplore'un kullanıcının bilgisayarı başladığında bir hizmet olarak başlayabilmesi için bir hizmet oluşturun. Bir hizmet biçiminde başlamak genellikle bir isabetin tespit edilmesi zordur. Çünkü bilgisayarda genellikle birçok svchost işlemi vardır.

Servisi yazdıktan sonra programı servis olarak başlatın

Kullanıcının bilgisayarını izlemek için bir ağ bağlantısı oluşturun

Hizmet başladıktan sonra, etki alanı adını çözümler ve ardından sürekli olarak 162.251.20.165'te sinyal paketleri gönderir. Anti-ip sorgusu sayesinde, askının genel bulut dinamik alan adını kullandığı tespit edilir.

Bilgi takibi

Yakın zamanda bulunan iki forumda, Xiaoqi forumuna kayıtlı olan kullanıcı eski bir kullanıcı. 2014'ten beri kayıtlı olan Xiaoqi Forum, Çin'de bir anti-virüs forumudur. Faydalarla dolu olan bu yerde, kaç kişi başkaları için at yetiştirmek istiyor, ancak başkaları tarafından farkında olmadan yetiştirildi. Her zaman kötü şeyler yapmayı düşünmeyin, peygamberdevesinin ağustosböceği ve sarıasma yakaladığına dikkat edin.

Bu, Xiaoqi forumuna atı bağlayan askının ekran görüntüsü, sadece basit bir cevap, genellikle bu genellikle bir su etiketi veya başka bir şey olarak kabul edilir ve kimse buna dikkat etmez, ancak bu cevap Arkasında bir bağlantı gizlidir. Hiçbir şey yapmazsan, sadece tetikle

Adobe Flash Player güvenlik açığı (CVE-2015-5122), yakalandınız.

Kullanıcının Baidu Bulut hesabını, kullanıcının paylaşılan kaynaklarının bağlantısından buluruz. Fuck there aslında bir QQ hesabına sahip ve onu gördüğümde heyecanlandım. Ancak QQ hesabı, truva atı tarafından kirli şeyler yapmak için özel olarak kullanılmalıdır, bu nedenle hiçbir değerli şey bulunamamıştır. o ( ) o beyaz mutlu

Dağın önünde bir yol olmalı, ancak Xiaoqi forumunda askının yanında bir yazı da gördük.

Gönderi, doğrudan bir yönetici olduğu ortaya çıkan sadboy.org forumundaki flaş asılı bir at videosuna atladı. o ( ) o

Yukarıdaki bilgilerden atı bağlayan kişi forumun web yöneticisidir. Forum bilgileri hakkında soru sorulduğunda, forum kaydında kullanılan bilgilerin yanlış bilgi olduğu tespit edildi (gizlilik çalışması hala iyi yapılıyor). Yalnızca bir foxmail posta kutusu gerçektir

Askı forumunda uzaktan kumanda satan bir grup bulduk

Grupta askıyı da bulduk. Yas, sadece atları asmakla kalmıyor, aynı zamanda uzaktan kumanda da satıyor. Gerçekte ne tür bir kara para kazanılır. Sadece kara paranın sıcak olup olmadığını sormak istiyorum?

Yalnızca uzaktan kumanda değil, aynı zamanda sızan çeşitli veritabanlarını da satar o ( ) o

Foruma kaydolurken, bir davet kodu satın almam gerektiğini fark ettim. Atı bağlayan kişinin adının bir kısmını görmek için geçmişe tıklayın

Ardından forumda, foruma kaydolurken kullanılan e-posta hesabı olan bir Alipay hesabı bulduk.

Sonra cep telefonumdan Alipay'e baktım ve forumdaki davetiye kodunu satın alan hesapla aynı hesap olduğunu buldum. Ve yazarın tam adını aldık

0x02 özeti

Xiaoqi Forum, Çin'de tanınmış bir anti-virüs forumudur ve bir anti-virüs forumu, on binlerce günlük ziyaretle atlarla ilişkilendirilmiştir. Biraz hırsızlık ve pirinci gölgede bırakmama. Herkes yumuşak bir şekilde öldürmekten kaçınmak ister. Ama diğerleri tarafından arkaya sıkışmıştı. Bilgisayar korsanlarının öldürme önleyici Truva atlarını her yere yayan çok sayıda bilgisayarı kontrol ettiği ve kontrol ettikleri kullanıcıların iki katına çıktığı gerçeğini düşünün. Nehir kenarında sık sık yürürken ayakkabılarını nasıl ıslatmazsın?

Orijinal makale, yazar: Damlalar, yeniden yazdırılırsa lütfen kaynağı belirtin: http: //www.mottoin.com/tech/116135.html

Ülkedeki en iyi liselerin sıralaması tartışmalı ve Qingbei oranı açık! Mezun olduğunuz okulun nasıl olduğunu görün

Yeni kumaş kutsaması! Nike Blazer tüm stilleri tekrar oynamak üzere!