国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

騰訊御安全深度解析暗云Ⅲ

jkyin / 1204人閱讀

摘要:到目前為止,騰訊反病毒實(shí)驗(yàn)室發(fā)現(xiàn)的暗云攻擊目標(biāo)大多為各類棋牌游戲服務(wù)器。

【關(guān)鍵詞:騰訊御安全,APK漏洞掃描,APP保護(hù),Android防破解】

前面對暗云的分析報(bào)告中,騰訊電腦管家安全團(tuán)隊(duì)和騰訊御安全基本摸清暗云Ⅲ的感染方式和傳播方式,也定位到被感染暗云Ⅲ的機(jī)器會(huì)在啟動(dòng)時(shí)從服務(wù)端下載任務(wù)腳本包——ndn.db文件,且該文件會(huì)常進(jìn)行更換。此外,撰寫本文的同時(shí),騰訊御安全也收集到多個(gè)不同功能的ndn.db文件,以下騰訊御安全將對暗云Ⅲ危害展開具體分析。

0x01 暗云payload行為分析
在解析db文件前,先過一次暗云payload行為:

木馬每5分鐘會(huì)聯(lián)網(wǎng)下載一次配置文件 http://www.acsewle.com:8877/ds/kn.html

該html是個(gè)配置文件,木馬會(huì)檢查其中的版本號,并保存,其后每次都會(huì)比較,以確定是否更新。

如果有更新,則下載新版本,并根據(jù)配置下載文件執(zhí)行或者創(chuàng)建svchost.exe傀儡進(jìn)程執(zhí)行。

木馬干活模塊lcdn.db其實(shí)為lua腳本解析器,主要功能下載任務(wù)db,進(jìn)而解析執(zhí)行:

0x02 任務(wù)腳本文件結(jié)構(gòu)

通過分析,得知ndn.db的文件結(jié)構(gòu),大致如下:
struct f_db{
DWORD fileLen; // lua腳本bytecode文件大小

DWORD runType; // 運(yùn)行類型
char fileName[24]; // lua腳本文件名
char fileData[fileLen]; // lua腳本bytecode內(nèi)容

}
如下圖中,紅色框?yàn)槲募笮。疑驗(yàn)檫\(yùn)行類型,藍(lán)色框?yàn)槲募?,紫色框?yàn)檎鎸?shí)的bytecode內(nèi)容。

根據(jù)文件結(jié)構(gòu),進(jìn)而可從ndn.db中提取到多個(gè)lua腳本的bytecode。

0x03 任務(wù)腳本功能分類
分析得知,其使用的lua版本為5.3,是自行更改過虛擬機(jī)進(jìn)行編譯。使用普通反編譯工具反編譯后,只能得到部分可讀明文,經(jīng)過分析統(tǒng)計(jì)可知道暗云Ⅲ現(xiàn)有發(fā)布的功能大致有以下幾類:
1、統(tǒng)計(jì)類
解密得到的111tj.lua腳本,實(shí)則為參與攻擊機(jī)器統(tǒng)計(jì)腳本。

該腳本主要作用為:每隔五分鐘,帶Referer:http://www.acsewle.com:8877/um.php訪問cnzz和51.la兩個(gè)站點(diǎn)統(tǒng)計(jì)頁面,以便統(tǒng)計(jì)參與攻擊的機(jī)器數(shù)及次數(shù)。
統(tǒng)計(jì)頁面地址為:
http://c.cnzz.com/wapstat.php...
http://web.users.51.la/go.asp...
訪問流量:

2、DDoS類
??這類腳本,簡單粗暴,直接do、while循環(huán),不停地對目標(biāo)服務(wù)發(fā)起訪問。如下為dfh01.lua中代碼,其目標(biāo)是針對大富豪棋牌游戲。
L1_1.get = L4_4
L4_4 = {
"182.86.84.236",
"119.167.151.218",
"27.221.30.113",
"119.188.96.111",
"113.105.245.107"
}
while true do
url = "http://" .. "web.168dfh.biz" .. "/"
L1_1.get(url)
url = "http://" .. "web.168dfh.cn" .. "/"
L1_1.get(url)
url = "http://" .. "web.168dfh.top" .. "/"
L1_1.get(url)
end
??又如,dfhcdn01.lua中:
while true do
sendlogin("114.215.184.159", 8002)
sendlogin("114.215.169.190", 8005)
sendlogin("114.215.169.97", 8002)
sendlogin("121.41.91.65", 8005)
sendlogin("123.56.152.5", 8000)
sendlogin("121.199.2.34", 8002)
sendlogin("121.199.6.149", 8000)
sendlogin("121.199.15.237", 8002)
sendlogin("101.200.223.210", 17000)
sendlogin("121.199.14.117", 8002)
sendlogin("112.125.120.141", 9000)
sendlogin("123.57.32.93", 9000)
end
??再如,在new59303.lua中:

3、CC攻擊類
??解密得到的yiwanm001.lua腳本中,包含有各類UserAgent,在發(fā)起攻擊時(shí),會(huì)隨機(jī)使用這些UserAgent來對目標(biāo)網(wǎng)站發(fā)起訪問,此外該腳本還將監(jiān)測是否跳轉(zhuǎn)到驗(yàn)證碼頁面,并自動(dòng)提取Cookie完成訪問。
??隨機(jī)UA:

獲取Cookie:

這個(gè)腳本攻擊的目標(biāo)為m.yiwan.com。為了精確到指定目標(biāo),腳本中還寫死了兩個(gè)服務(wù)器ip。
L6_6= "http://139.199.135.131:80/"
L7_7= "http://118.89.206.177:80/"
攻擊流量截圖:

又如,攻擊腳本jjhm77.lua腳本中,從http://down.jjhgame.com/ip.tx...:

之后按照目標(biāo)服務(wù)所需的特定格式構(gòu)造隨機(jī)數(shù)據(jù):

循環(huán)發(fā)送,開始攻擊:

0x04 危害及建議
??暗云自帶lua腳本解析器,攻擊全程文件不落地,具體需執(zhí)行任務(wù)的db文件也是隨時(shí)在服務(wù)端更新發(fā)布,如此增大了殺軟查殺難度。坐擁上百萬的暗云控制端(數(shù)據(jù)來自:CNCERT[http://www.cert.org.cn/publis...]),已經(jīng)可以不需要肉雞無間斷發(fā)起連接,即可完成大規(guī)模的指向性攻擊。如此的好處便是在用戶無感的情況下,占用用戶帶寬,完成攻擊。
??到目前為止,騰訊反病毒實(shí)驗(yàn)室發(fā)現(xiàn)的暗云攻擊目標(biāo)大多為各類棋牌、游戲服務(wù)器。截止當(dāng)前,暗云控制端url已自行解析到127.0.0.1,下發(fā)url也已失效。但不確定暗云下一次開啟時(shí),任務(wù)db文件中l(wèi)ua腳本不會(huì)是更加惡意的功能。
??所以,騰訊電腦管家建議用戶積極采取安全防范措施:
??1、不要選擇安裝捆綁在下載器中的軟件,不要運(yùn)行來源不明或被安全軟件報(bào)警的程序,不要下載運(yùn)行游戲外掛、私服登錄器等軟件;
??2、定期在不同的存儲(chǔ)介質(zhì)上備份信息系統(tǒng)業(yè)務(wù)和個(gè)人數(shù)據(jù)。
??3、下載騰訊電腦管家進(jìn)行“暗云”木馬程序檢測和查殺;
0x05 附錄(暗云攻擊過的ip地址及URL)
歷史攻擊過的IP列表:
114.64.222.26
103.254.188.247
114.64.222.27
60.5.254.82
60.5.254.81
60.5.254.47
218.29.50.40
218.29.50.39
60.221.254.229
60.221.254.230
122.143.27.170
182.106.194.83
27.155.73.17
27.155.73.16
125.89.198.29
182.106.194.84
111.47.220.47
111.47.220.46
111.20.250.133
123.128.14.174
106.59.99.46
116.55.236.92
218.5.238.249
106.59.99.47
117.27.241.114
117.27.241.181
14.215.100.76
113.12.84.24
113.12.84.23
14.215.100.75
112.90.213.51
112.90.213.52
58.223.166.19
122.5.53.120
122.5.53.121
58.51.150.40
219.146.68.119
114.80.230.238
114.80.143.223
114.80.230.237
112.25.83.28
120.221.25.169
120.221.24.125
117.148.163.80
112.25.83.29
120.221.24.126
117.148.163.79
182.140.142.40
118.123.97.16
118.123.97.17
220.165.142.221
182.140.142.39
218.76.109.67
222.243.110.83
222.243.110.82
120.221.25.170
113.5.80.249
218.60.109.79
113.5.80.248
218.60.109.80
58.51.150.52
122.246.17.9
120.199.86.132
122.228.30.147
122.228.30.38
122.228.11.175
116.211.144.70
218.11.0.9
118.178.213.63
116.211.168.169
116.31.100.147
116.31.100.3
116.31.100.144
116.31.100.148
116.31.100.170
122.246.17.15
116.211.144.240
116.211.144.129
116.211.144.242
116.211.144.206
116.211.144.238
116.211.144.239
116.211.144.219
114.215.184.159
114.215.169.190
114.215.169.97
121.41.91.65
123.56.152.5
121.199.2.34
121.199.6.149
121.199.15.237
101.200.223.210
121.199.14.117
112.125.120.141
123.57.32.93
182.86.84.236
119.167.151.218
27.221.30.113
119.188.96.111
113.105.245.107
139.224.32.159
139.224.68.202
139.224.35.106
139.196.252.62
139.224.35.175
139.196.252.245
139.224.33.199
139.224.68.48
139.224.35.132
139.196.252.61
139.224.35.188
139.199.135.131
118.89.206.177
歷史攻擊過的URL列表:
http://senios.138kkk.com
http://senand.138kkk.com
http://m.yiwan.com
http://oss.aliyuncs.com/uu919...
http://oss.aliyuncs.com/uu919...
http://senres.138kkk.com/sen/...
http://senres.138kkk.com/sen/...
http://58.51.150.52/sso/ios/f...
http://ssores.u2n0.com/sso/io...
http://pcupdate.game593.com/?...
http://senios.uts7.com
http://senand.uts7.com
http://139.199.135.131:80
http://118.89.206.177:80
0x06 參考文檔
[1] 暗云Ⅲ BootKit 木馬分析:http://www.freebuf.com/articl...
[2] 暗云Ⅲ木馬傳播感染分析:http://www.freebuf.com/articl...
[3] 哈爾濱工業(yè)大學(xué)關(guān)于防范暗云木馬的通知:http://www.80sd.org/guonei/20...
[4] CNCERT關(guān)于“暗云”木馬程序有關(guān)情況通:http://www.cert.org.cn/publis...

關(guān)于騰訊安全實(shí)驗(yàn)室

騰訊移動(dòng)安全實(shí)驗(yàn)室:基于騰訊手機(jī)管家產(chǎn)品服務(wù),通過終端安全平臺(tái)、網(wǎng)絡(luò)安全平臺(tái)和硬件安全平臺(tái)為移動(dòng)產(chǎn)業(yè)打造云管端全方位的安全解決方案。其中騰訊御安全專注于為個(gè)人和企業(yè)移動(dòng)應(yīng)用開發(fā)者,提供全面的應(yīng)用安全服務(wù)。

騰訊安全反詐騙實(shí)驗(yàn)室:匯聚國際最頂尖白帽黑客和多位騰訊專家級大數(shù)據(jù)人才,專注反詐騙技術(shù)和安全攻防體系研究。反詐騙實(shí)驗(yàn)室擁有全球最大安全云數(shù)據(jù)庫并服務(wù)99%中國網(wǎng)民。

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/28328.html

相關(guān)文章

  • 騰訊安全深度解析暗云

    摘要:到目前為止,騰訊反病毒實(shí)驗(yàn)室發(fā)現(xiàn)的暗云攻擊目標(biāo)大多為各類棋牌游戲服務(wù)器。 【關(guān)鍵詞:騰訊御安全,APK漏洞掃描,APP保護(hù),Android防破解】 前面對暗云的分析報(bào)告中,騰訊電腦管家安全團(tuán)隊(duì)和騰訊御安全基本摸清暗云Ⅲ的感染方式和傳播方式,也定位到被感染暗云Ⅲ的機(jī)器會(huì)在啟動(dòng)時(shí)從服務(wù)端下載任務(wù)腳本包——ndn.db文件,且該文件會(huì)常進(jìn)行更換。此外,撰寫本文的同時(shí),騰訊御安全也收集到多個(gè)不...

    cangck_X 評論0 收藏0
  • 騰訊安全深度解析暗云

    摘要:到目前為止,騰訊反病毒實(shí)驗(yàn)室發(fā)現(xiàn)的暗云攻擊目標(biāo)大多為各類棋牌游戲服務(wù)器。 【關(guān)鍵詞:騰訊御安全,APK漏洞掃描,APP保護(hù),Android防破解】 前面對暗云的分析報(bào)告中,騰訊電腦管家安全團(tuán)隊(duì)和騰訊御安全基本摸清暗云Ⅲ的感染方式和傳播方式,也定位到被感染暗云Ⅲ的機(jī)器會(huì)在啟動(dòng)時(shí)從服務(wù)端下載任務(wù)腳本包——ndn.db文件,且該文件會(huì)常進(jìn)行更換。此外,撰寫本文的同時(shí),騰訊御安全也收集到多個(gè)不...

    894974231 評論0 收藏0

發(fā)表評論

0條評論

最新活動(dòng)
閱讀需要支付1元查看
<