成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

惡意PNG:隱藏在圖片中的“惡魔”

安全
在互聯網安全這場持久戰中,網絡攻擊者一直在不斷改進自己的攻擊技術。安全研究人員發現,最新的Graftor木馬變種可以將惡意DLL文件內嵌到PNG圖片中,然后以圖片為載體隱藏并將惡意DLL下載到目標系統上,并能夠躲避殺毒軟件的檢測。

 

在互聯網安全這場持久戰中,網絡攻擊者一直在不斷改進自己的攻擊技術。安全研究人員發現,最新的Graftor木馬變種可以將惡意DLL文件內嵌到PNG圖片中,然后以圖片為載體隱藏并將惡意DLL下載到目標系統上,并能夠躲避殺毒軟件的檢測。針對本文中的樣本,惡意內容被嵌入在了真實PNG圖片數據的末尾。

惡意PNG:隱藏在圖片中的“惡魔”

廣告軟件,甚至是綁定惡意軟件的正版軟件越來越多地被作為攻擊者用來初始訪問目標用戶系統的手段。在這些情況下,用戶會被誘導訪問一些惡意網站或者安裝一些軟件。在這次所分析的樣本中,它訪問了系統之后,惡意軟件通過下載一個包含惡意DLL和其他可執行內容的PNG文件,并利用該PNG文件進行進一步的漏洞利用。其中,PNG文件的下載發生在系統后臺,而無需與用戶進行交互,并且會將惡意內容隱藏在PNG文件的末尾,通過這種方法攻擊者試圖繞過系統和網絡的安全檢測。

意在竊取用戶輸入數據

在我們1月份分析的樣本中,惡意軟件首先試圖通過HTTP請求從http://174.128.244.58:808 toopu.png網站下載惡意PNG圖片,分析代碼如下圖所示。

惡意PNG:隱藏在圖片中的“惡魔”

 

在toopu.png文件的末尾附加了一個DLL文件,該DLL并未以任何方式混淆或隱藏,而只是附加到PNG文件中IEND標志的后面,通常IEND標記表明圖像文件的結束。

搜索VirusTotal,就能發現toopu.png同時還與一千多個樣本聯系密切,這些樣本也都使用到了該PNG文件中的惡意內容。通過檢測最近的很多樣本,我們發現toopu.png文件從192.253.234.50處下載。此外,我們也發現攻擊者還使用了其他PNG文件,例如khbgvkh.png和test.png文件。在我們分析的這個樣本中,VT表明它hook了鍵盤和鼠標操作的相關函數。簡單地查看test.png文件中添加的內容可以發現一些字符串,例如“ActiveOfflineKeyLogger”和“UnActiveOfflineKeyLogger”,表明惡意軟件確實試圖獲取用戶輸入的鍵盤數據。

修改主機文件

通過檢測VirusTotal上其他下載toopu.png文件的樣本,還發現攻擊者使用的另一個常見的技巧,即修改本地主機文件內容,將不同反病毒廠商的網址鏈接指向本地主機,從而防止本機訪問這些網址。在其中一個樣本中,惡意軟件修改主機文件(hosts)的內容如下所示:

惡意PNG:隱藏在圖片中的“惡魔”

分析用于構建獲取惡意PNG文件的HTTP請求的函數,可發現似乎該它缺少一些功能。它有大多數HTTP頭的格式化字符串,但只提供了一個用戶代理(User-Agent)和接受語言(Accept-Language)值,且對toopu.png的請求中只有空的referrer和cookie頭。

惡意PNG:隱藏在圖片中的“惡魔” 

惡意PNG:隱藏在圖片中的“惡魔”

 

惡意軟件執行流程

如果該函數獲取PNG文件失敗,它將休眠一段時間然后再次請求。一旦獲取到PNG文件,檢索函數將執行一些基本的驗證操作,以確保獲取的是正確的圖像文件。樣本檢測“200 OK”響應并核對文件長度是否為0x41EA9(269993),然后移動到嵌入的DLL文件開始偏移0xEA9(3753)。

惡意PNG:隱藏在圖片中的“惡魔”

嵌入的DLL文件實際上包含一些C&C功能,函數中的參數type和cr都被硬編碼成了“loadall”和“yes”。

惡意PNG:隱藏在圖片中的“惡魔”

UPX加殼文件內容

PNG文件中還包含了一個UPX加殼文件,該文件中包含一個域名列表和用戶代理列表,C&C對應的域名包括:

niudoudou.com

fxxx114.com

wlkan.cn

it885.com.cn

aquametron.com

加殼文件中包含的用戶代理都是獨一無二的,其中一個列出了Chrome瀏覽器的過時版本,兩個列出了兩個版本的IE瀏覽器,還有一個列出了IE11瀏覽器和火狐瀏覽器。

Chrome用戶代理(Chrome的當前版本是41)是:

Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US)AppleWebKit/534.15 (KHTML, like Gecko) Chrome/10.0.612.1

Safari/534.15

兩個IE用戶代理分別為:

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT

5.1; SV1) ; Maxthon/3.0)

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT

5.1; SV1) ; 360SE)

火狐用戶代理為:

Mozilla/5.0 (Windows NT 5.1; rv:11.0) Gecko/20100101Firefox/24.0

IOC哈希值:

331177e4fbde6c98620f1c9927962c79d4c027807357f42002a14a2dc22b4044

b4cb0490afa7da6647dc7f255a6c4c742b649fe4ff853b83f7dd2f948b8686be

1fc6034b3ec99a01e3b2cde22846772656481d7374209ca0f068c8ab181bc8d9

4124a533037373a922b01421caca3821af36099d98b7d6aa534ad9a2c4f40d2b

域名:

niudoudou.com

fxxx114.com

wlkan.cn

it885.com.cn

aquametron.com

IP地址:

174.128.244.58

192.253.234.50

結論

捆綁惡意軟件和其他廣告軟件正在變成越來越常見的攻擊手段。這些嵌入惡意代碼的PNG文件最初的檢出率很低,本文分析的樣本也是如此。所以,用戶必須時刻保持警惕,提防攻擊者安裝其他軟件或者訪問惡意網站。此外,一個分層的安全方法有助于降低這種威脅,它可以限制軟件后臺訪問惡意網站,并能在惡意軟件運行之前阻止它們。

責任編輯:藍雨淚 來源: FreeBuf
相關推薦

2009-07-25 22:03:28

2022-11-15 10:05:26

2021-10-10 12:43:44

惡意軟件加密流量網絡攻擊

2015-07-02 14:27:23

2023-05-04 07:11:29

2024-05-31 13:18:44

2019-11-20 15:09:25

安全威脅SSL加密

2015-06-18 10:32:37

2021-03-01 11:38:06

惡意軟件macOS攻擊

2013-07-29 10:02:42

2021-04-21 13:44:50

惡意代碼網絡釣魚攻擊

2015-03-04 13:37:24

2014-05-16 10:44:57

設計交互設計

2011-06-13 09:59:21

2009-03-17 16:48:48

惡意程序盜號木馬圖片

2018-05-09 10:40:15

云存儲數據對象存儲

2023-09-06 10:39:01

Java反射Java

2016-11-21 11:43:11

Python

2021-01-15 13:27:50

竊密腳本CSS惡意代碼

2021-11-19 14:33:27

挖礦木馬病毒
點贊
收藏

51CTO技術棧公眾號

主站蜘蛛池模板: 狠狠插天天干 | 欧美精品在线视频 | 国产av毛片 | 天天爱综合 | 日韩中文在线 | 久久国产视频网 | 日韩精品一区二区三区视频播放 | 免费观看av网站 | 日韩在线观看网站 | 国产精品欧美一区喷水 | 日本不卡一区二区三区 | 国产一级免费视频 | 一二区视频| 91视频国产一区 | 在线视频一区二区 | 久久这里只有精品首页 | 精品欧美乱码久久久久久 | 成人毛片一区二区三区 | 天天激情综合 | 欧美日韩国产精品一区二区 | 欧美日韩国产在线观看 | 国产精品久久久久久久久污网站 | 啪啪毛片 | 日韩欧美亚洲 | 亚洲综合在线网 | 激情一区二区三区 | 四虎最新视频 | 欧美精品一区二区三区蜜臀 | 91精品国产日韩91久久久久久 | 中文在线播放 | 久久久www成人免费无遮挡大片 | 日韩在线免费视频 | 国产精品成av人在线视午夜片 | 伊人在线| 国产一区二区视频在线观看 | 韩国理论电影在线 | 最新中文字幕久久 | 午夜精品一区 | 国产成人影院 | 国产精品精品3d动漫 | 九九伊人sl水蜜桃色推荐 |