国产成人毛片毛片久久网_国产午夜激无码av毛片不_国产乱对白精彩在线播放_av资源站中文字幕_亚洲男人的天堂网站_国产成 人 综合 亚洲网_中国国产激情一区_少妇一级淫片免费放_亚洲一本大道av久在线播放_免费观看美女裸体网站

事件描述

近日，亞信安全截獲一款偽裝成補丁安裝程序的下載器木馬病毒，該病毒運行后會彈出補丁安裝成功的消息框，用來迷惑用戶。實質(zhì)上其會鏈接惡意網(wǎng)址下載惡意文件，并將下載的惡意文件加載到內(nèi)存中，經(jīng)過解密后再次下載惡意后門程序，最終的惡意程序是使用meterpreter（MSF）攻擊框架生成的標(biāo)準(zhǔn)攻擊載荷。亞信安全將該惡意下載器命名為：Trojan.Win32.DLOADER.BK。

攻擊流程

詳細分析

母體文件KB4346084.exe分析

該病毒首先會創(chuàng)建一個線程，該線程主要用于彈出補丁安裝成功的消息框，掩蓋其真實的惡意行為。

然后其會通過訪問惡意網(wǎng)址下載360.bin和360.ico惡意文件到系統(tǒng)中，我們分析發(fā)現(xiàn)，其下載的兩個文件內(nèi)容相同。其中360.bin文件是通過病毒當(dāng)前進程id與惡意網(wǎng)址拼湊后得到的惡意URL下載而來。

360.bin文件下載到系統(tǒng)后，該病毒文件會申請一段內(nèi)存，將360.bin文件解密并刪除，隨后執(zhí)行。

解密后的Shellcode的行為是利用網(wǎng)絡(luò)wininet模塊從https://XXX.1XX.112.237/rDqdZyfiIYdCHEMdHw5AsApfDh805UfvgKP4jiKWxOqeJt47-XXXXXXXXXXXXXXX惡意網(wǎng)址下載另外一個惡意DLL文件。

惡意DLL文件分析

通過查看惡意DLL的導(dǎo)出表，我們發(fā)現(xiàn)有很多導(dǎo)出函數(shù)，其中包括用于反射注入DLL的ReflectiveLoader() 函數(shù)和channel模塊（包括創(chuàng)建，打開等功能函數(shù)）。其還使用了metsrv.dll文件, 該文件是meterpreter的核心組件，常常用來進行網(wǎng)絡(luò)滲透。

通過進一步分析，我們發(fā)現(xiàn)該文件是使用meterpreter（MSF）攻擊框架生成的標(biāo)準(zhǔn)攻擊載荷。其使用了一種叫做Reflective Load的技術(shù)，也就是在PE頭部插入shellcode并實現(xiàn)一個模擬加載dll的導(dǎo)出函數(shù)。在shellcode中調(diào)用該導(dǎo)出函數(shù)將自身加載進來，并以fdwReason = 4來調(diào)用DllMain。選擇是4的原因是使正常加載的dll不會執(zhí)行到功能流程（因為在MSDN中指明了fdwReason的值只能為0、1、2、3）。

實現(xiàn)自加載的導(dǎo)出函數(shù)ReflectiveLoader的校驗PE頭部分代碼：

我們可以從main函數(shù)代碼中得到，只有在fdwReason == 4時才會進入真正的功能流程，進入后會執(zhí)行init()函數(shù)，其中包括遠程連接到遠端功能。由于是使用MSF框架，常用的功能包括加載腳本，獲取代理信息，文件下載等等。

解決方案

ü   不要點擊來源不明的郵件以及附件；

ü  采用高強度的密碼，避免使用弱口令密碼，并定期更換密碼；

ü  打開系統(tǒng)自動更新，并檢測更新進行安裝。

ü  更新補丁時，務(wù)必從微軟官方網(wǎng)站下載補丁程序，切勿從其他渠道獲取。

微軟官方補丁查詢和下載地址：http://www.catalog.update.microsoft.com/Home.aspx

IOCs

*轉(zhuǎn)自FreeBuf.COM